Activisten kritisch na vijf jaar AVG

Vandaag bestaat de General Data Protection Act (GDPR, in Nederland de algemene verordening gegevensbescherming of AVG) vijf jaar. Reden voor de Oostenrijkse advocaat Max Schrems, het enfant terrible onder de privacy-activisten, om op een rijtje te zetten waar de Europese privacywetgeving allemaal níet in slaagt. Met name de nationale toezichthouders moeten het ontgelden. Zo voorziet Schrems’ stichting noyb grote problemen nu de Autoriteit Persoonsgegevens bovenop alle bestaande verantwoordelijkheden ook nog toezichthouder voor algoritmen is.

Meer dan 800 klachten

Schrems kennen we als de man die met zijn klacht bij het Europees Hof van Justitie een einde maakte aan de Safe Harbor Privacy Principles, waaronder Europa en de Verenigde Staten persoonsgegevens konden uitwisselen. Ook de opvolger van deze overeenkomst werd door Schrems juridische getouwtrek getorpedeerd. Met de stichting noyb (none of your business) zet hij zich in voor de handhaving van de Europese privacywetgeving. Je hebt niets aan goede wetten als bedrijven en overheden weten dat ze ermee wegkomen om ze te niet na te leven, is het motto van noyb. Daarom diende de stichting in die vijf jaar meer dan 800 klachten in bij de verschillende instanties die toezicht moeten houden op de naleving van de GDPR. Daarvan is 85 procent nog in behandeling.

Boete dankzij Schrem

De alom bejubelde megaboete voor Meta noemt Schrems ‘een bewijs dat de GDPR niet werkt’. Het is mede te danken aan de rechtszaken die Schrems voerde tegen de Ierse toezichtouder DPC dat die laatste (onder druk van Europa) überhaupt actie ondernam tegen Facebooks moederbedrijf, schrijft noyb. Dat de aankondiging dat Meta 1,2 miljoen euro moet betalen precies deze week plaatsvindt, is volgens noyb te danken aan ‘strategische vertraging’ aan de kant van DPC.

Achterstand klachtenafhandeling Autoriteit Persoonsgegevens

Voor het jubileum stelde noyb ‘landprofielen’ op van de verschillende Europese toezichthouders. Dat van de Nederlandse Autoriteit Persoonsgegevens kwam tot stand met behulp van burgerrechtenbeweging Bits of Freedom. Die constateert (pdf) dat de Autoriteit Persoonsgegevens een lange achterstand heeft bij klachtbehandeling (noyb heeft ook in Nederland nog 60 klachten openstaan bij de AP). Slechts een klein deel van de behandelde klachten leidt tot een boete. De Nationale Ombudsman stelde in 2021 dat de AP burgers voor een dichte deur laat staan en herhaalde deze zorgen in 2022. Ook opvallend is dat de Autoriteit Persoonsgegevens geen duidelijke handhavingsstrategie heeft, in tegenstelling tot veel andere toezichthouders.  

Zorgen over onmacht toezichthouders

Al met al is er weinig reden voor een feestje, vindt Schrems. Daar denken juristen in Brussel anders over, bleek onlangs op een conferentie over big tech, al leven ook daar zorgen over de beperkte mogelijkheden en soms ook onwil van de nationale toezichthouders om in te grijpen bij overtredingen van de Europese privacywet.