De Algemene Verordening Gegevensbescherming (AVG) is een hele verbetering ten opzichte van de situatie ervoor. In praktijk schiet de Europese privacywet echter nog geregeld tekort bij de handhaving. De Ierse privacywaakhond kampt met teveel AVG-onderzoeken en andere nationale toezichthouders hebben te weinig budget of capaciteit. Verschillende Europarlementariërs willen dan ook één overkoepelende Europese toezichthouder.
Dat zeggen ze desgevraagd tegenover NU.nl.
‘Ierland is superhandhaver voor de EU’
Drie jaar na de invoering van de AVG staat volgens diverse leden van het Europees Parlement vast dat het huidige model niet werkt. De Ierse Data Protection Commission (DPC) is de primaire toezichthouder in de Europese Unie. Dat komt omdat de meeste (Amerikaanse) technologiebedrijven hun hoofdkantoor in Dublin hebben gevestigd, zoals Facebook, Apple, Twitter en Google. Europese regels schrijven voor dat de DPC dan de taak heeft om privacyklachten te onderzoeken en af te handelen, ook al wordt de vermeende overtreding in een ander EU-land gepleegd.
De Ierse privacywaakhond krijgt het leeuwendeel van de overtredingen voor zijn kiezen. Denk aan de recente datalekken bij Facebook en LinkedIn, maar ook de data-uitwisseling van persoonsgegevens van Facebook-gebruikers tussen de EU en Verenigde Staten. Dergelijke onderzoeken kosten veel tijd, geld en energie. Critici roepen al geruime tijd dat de DPC de werkdruk niet aankan.
Johnny Ryan van de Irish Council for Civil Liberties (ICCL), een organisatie die opkomt voor burgerlijke vrijheden, maakt zich zorgen over de toezichthouder in zijn land. “Het is duidelijk dat er een probleem is. De Ierse kwestie is zelfs nog belangrijker dan de Nederlandse, omdat zoveel grote techbedrijven in Dublin gevestigd zijn”, vertelt hij aan NU.nl. In zijn ogen is de DPC de ‘superhandhaver voor de EU’ geworden. “Dat is een enorme rol voor een klein land. Maar als we vervolgens aan de lopende band omzeild worden, verliest Ierland zijn relevantie.”
PvdA en D66 willen één overkoepelende Europese privacytoezichthouder
Het Europees Parlement is zich bewust van de handhavingsproblemen van de AVG in de Europese Unie. Kim van Sparrentak zit namens GroenLinks in het Europees Parlement. Zij vindt het gek dat de Ierse toezichthouder moet controleren of alle grote techbedrijven zich aan de Europese privacyregels houden. “Die gaat dat niet bolwerken.”
Ook Jeroen Lenaers (CDA) heeft moeite met de rol die de DPC op zich neemt. De huidige situatie is volgens hem een verbetering ten opzichte van de situatie ervoor. “Maar het vereist wel capaciteit om te handhaven. En daar ontbreekt het aan, zeker bij Ierland. Kun je verwachten dat dat land ooit genoeg capaciteit heeft om alle grote techbedrijven te controleren?”
Hoe los je dat probleem op? De PvdA en D66 willen dat er één overkoepelende Europese privacytoezichthouder komt. Volgens de linkse partijen wordt het hiermee eenvoudiger om privacyzaken op zich te nemen die de landsgrenzen overstijgen. Van Sparrentak en Lenaerts twijfelen daaraan. Zij zien er meer heil in om de toezichthouders in de EU-lidstaten meer capaciteit te geven. Ook moeten ze vaker en nauwer met elkaar samenwerken om een vuist te vormen tegen overtreders van de AVG.
Lidstaten mogen straks wellicht zelf een procedure starten
Verandering is mogelijk in aantocht. Momenteel ligt er een zaak bij het Europees Hof van Justitie. De Gegevensbeschermingsautoriteit (GBA) uit België wil dat Facebook stopt met de ‘buitensporige’ manier van het volgen van internetgebruikers. Het sociale netwerk van Mark Zuckerberg zegt op zijn beurt dat de Belgische toezichthouder niet bevoegd is om een procedure tegen het bedrijf te starten. Het hoofdkantoor is immers in Ierland gevestigd. Alleen de Ierse toezichthouder zou daarom geoorloofd zijn om een onderzoek te beginnen.
Het Hof van Justitie moet nu bepalen of Facebook gelijk heeft of niet. De uitspraak volgt naar verwachting in juni. De advocaat-generaal van het Hof schoof de verdediging van Facebook afgelopen januari terzijde. Zijn advies is weliswaar niet bindend, maar wordt vaak wel overgenomen door het Hof. Dat zou betekenen dat België en andere Europese lidstaten op eigen houtje een procedure tegen Facebook kunnen instellen.
AP doet niets met klacht Consumentenbond over Google
In Nederland speelt een vergelijkbare kwestie. In 2018 diende de Consumentenbond een verzoek in bij de Autoriteit Persoonsgegevens om een onderzoek te lanceren naar Google. De zoekmachinegigant verzamelt voortdurend locatiegegevens van gebruikers en het is lastig om dit permanent uit te schakelen.
Twee jaar later heeft de toezichthouder nog altijd geen actie ondernomen. Daarom stapte de Consumentenbond eind 2020 naar de rechter. Zo hoopt de belangenorganisatie de toezichthouder te dwingen een onderzoek in te stellen naar Google. “Ik vind dat stuitend. Ik ken geen enkele rechtsgang waar je twee jaar lang in de wachtkamer zit, zonder ook maar iets wezenlijks te horen. Er moet echt iets gebeuren. En daarom stappen we naar de rechter”, zo zei Consumentenbond-directeur Sandra Molenaar destijds.
De Autoriteit Persoonsgegevens houdt vol dat zij niets kan doen vanwege het Europese éénloketsysteem. Dat betekent dat alleen het land waar het hoofdkantoor van het bedrijf gevestigd is een handhavingsverzoek kan afdwingen. “Wij zijn niet bevoegd om daar uitspraken over te doen”, zo houdt de toezichthouder al jaren vol.
