• Word gratis lid
  • Investeer in Mensenrechten

Eén jaar GDPR: kroniek van niet-ingeloste verwachtingen?

17 juni 2019

Een Copernicaanse revolutie of een opsmuk van het bestaande?

       

Geschreven door Willem Debeuckelaere [*] voor het juli 2019 nummer van het Tijdschrift voor Mensenrechten. [**]

Eén jaar na de Big Bang van 25 mei 2018 heeft de GDPR één grote verdienste: het hervormingsproces - en de toen gecreëerde hype – heeft de verwerking en bescherming van persoonsgegevens in de schijnwerpers gezet. En dat met zoveel toeters en bellen dat je wel op een andere planeet moest leven om niet te beseffen dat er nieuwe wetgeving in aantocht was. De bescherming van privacy, meer bepaald persoonsgegevens, moest nu maar eens serieus genomen worden. Met de nodige dramatiek (gigantische boetes en ingrijpende corrigerende maatregelen) werd zelfs de meest onwillige gegevensverwerker geconfronteerd met de nieuwe verplichtingen. Getuige daarvan de soms compleet overtrokken reacties van bepaalde verwerkers - iedereen herinnert zich nog wel de ontelbare e-mails die plots uitdrukkelijke toestemming eisten. Dit was meteen ook een illustratie van de verwarring en de misvattingen die opdoken. Net zoals de horde zelfverklaarde experten die hier brood in zagen. Al die aandacht heeft de gegevensbescherming prominent op de kaart gezet en dat is bijzonder belangrijk. Daardoor alleen schonken zowel publieke als private spelers er buitengewone aandacht aan en gingen ze ook effectief aan het werk om zich die nieuwe regels en verplichtingen eigen te maken.

Een Copernicaanse revolutie of een opsmuk van het bestaande?

Wat velen leken te vergeten was dat het gros van deze rechten en verplichtingen al sinds jaar en dag[1] van kracht zijn. Dat er dus eigenlijk niet zo bijzonder veel moest gebeuren om in regel te zijn met de GDPR, werd niet meteen verklaard of geloofd. Dat was blijkbaar niet de boodschap die graag werd gehoord, noch door de autoriteiten en initiatiefnemers, noch door de gegevensverwerkers. De principes van de gegevensbescherming zijn in elk geval grotendeels dezelfde gebleven. Het is vooral de verpakking, de carrosserie van het vehikel, die gestroomlijnd werd. Voor de uitwerking en concretisering ervan was er wel heel wat werk aan de winkel: nieuwe toezichthoudende autoriteiten met een pak nieuwe bevoegdheden en taken, een nieuw comité op het Europees niveau, het dataregister, de functionaris voor gegevensbescherming, privacy by design en by default, het unieke loket, enzovoort.  

Nood aan een geïntegreerde aanpak van het toezicht en de rechtshandhaving en de nieuwe uitdagingen van technologische aard

Dat er een vernieuwing nodig was van het bestaande toezichtmechanisme, en dan vooral van de rechtshandhaving, was algemeen aanvaard. De oude Europese gegevensbeschermingsrichtlijn was geschreven voor mainframes en was geschoeid op een nationale aanpak en nationale spelers. Ondertussen is er het netwerk met fundamentele veranderingen in het kielzog zoals cloud computing, big data, artificiële intelligentie, enzovoort. En daarmee is ook de nationale aanpak opengebroken. Die heeft plaats gemaakt voor een globalisatie van de informatiewereld en meteen ook van de gegevens, persoonsgegevens in het bijzonder. De snelle evolutie van de informatiewetenschap, en de economische modellen die er zich van bedienen, zoals bijvoorbeeld de sociale netwerken en/of de toezichts- en onderzoeksmogelijkheden, vragen een geïntegreerde aanpak. Die had de GDPR moeten aanreiken. Het probleem is dat de hervorming géén antwoord geeft aan die uitdagingen en is blijven steken in de opsmuk van het toezicht en de handhaving. Met een paar nieuwe, of toch meer uitdrukkelijk verwoorde, principes. Enkele daarvan zijn interessant én zelfs een verbetering voor de bescherming van persoonsgegevens. Maar die enkele kruimels zijn niet in staat om nu, een jaar na de Big Bang, een positief bilan voor te leggen. Wel integendeel.

Het cadeau voor de multinationals: de klucht van de ‘one-stop-shop’

Eigenlijk is de ganse hervorming afgestemd op maat van grote bedrijven, zeg maar de multinationale spelers, de GAFA’s (Google, Apple, Facebook en Amazon) op kop. De grote vraag is of de GDPR in staat is deze multinationals, de databrokers van alle slag en soort, in toom te houden. Het is voor mij duidelijk dat diezelfde multinationale spelers een enorm praktisch cadeau hebben gekregen van de Europese wetgever: de ‘one-stop-shop’ of het unieke loket. Kort uitgelegd: bedrijven of organisaties die actief zijn in meer dan één land in de Europese Unie moeten nagaan in welk land het zijn voornaamste vestiging heeft. Dit bepaalt immers de bevoegdheid van de gegevensbeschermingsautoriteit die als leidende autoriteit de sparring partner van die internationale organisatie wordt. Het is die leidende autoriteit die de andere nationale autoriteiten als betrokken autoriteiten een beslissingsvoorstel moet voorleggen én die uiteindelijk beslist. Dit werd destijds aangekondigd als dé grote verandering die een belangrijke bijdrage zou leveren aan de bescherming van de gegevensverwerking. Het zou een einde maken aan de ongecoördineerde aanpak vanwege de verschillende nationale privacycommissies van internationale spelers. Plots was dit blijkbaar een groot probleem dat Europees moest worden aangepakt. Merkwaardig eigenlijk dat deze retoriek op bijzonder weinig kritiek onthaald werd door de gemeenschap van de gegevensbescherming, zowel van de kant van de autoriteiten als van de privacy-activisten. Daarbij mag ook niet vergeten worden dat het oorspronkelijke voorstel van de Europese Commissie niet voorzag in een correctief op deze keuze voor het nationale monopolie. Het is slechts na jaren van discussie in de Raad en het Parlement dat deze ‘one-stop-shop’ werd bijgesteld: de beslissingen van de nationale leidende autoriteit kunnen niet alleen gecounterd worden door de andere betrokken autoriteiten, maar ook overruled worden door een beslissing van alle autoriteiten, verenigd in het Comité, de European Data Protection Board (EDPB).

Maar deze belangrijke bijstelling is en blijft afhankelijk van een procedure die per definitie problematisch is. Vooreerst is er géén mechanisme die de leidende autoriteit oplegt om binnen een bepaalde tijd en/of in bepaalde samenwerkingsverbanden inlichtingen te geven of een beslissingsvoorstel voor te leggen. In de praktijk is het zo dat de klacht (van een burger, een organisatie of een autoriteit) of een verzoek tot onderzoek naar conformiteit met de GDPR moet worden behandeld door de autoriteit van de EU-lidstaat waar de voornaamste vestiging van het bedrijf of organisatie is gevestigd. Wetende dat op vandaag Ierland zowel voor Google, Apple, Facebook als Microsoft de voornaamste vesteging herbergt, is het duidelijk dat de facto de Ierse gegevensbeschermingsautoriteit, een kardinale rol krijgt in de Europese gegevensbeschermingspolitiek. In zoverre deze bedrijven het voorwerp zijn van onderzoeken of van klachten uiteraard. Maar dat heeft niet lang geduurd. Enkele minuten na middernacht op 25 mei 2018 werd reeds in vier landen klacht neergelegd tegen Facebook en haar geledingen, onder meer door NOYB (None Of Your Bussiness: een activistische organisatie waarin ook de Oostenrijkse Max Schrems actief is). In België werd bij de Gegevensbeschermingsautoriteit een klacht ingediend door een Belgische inwoner (met de steun van NOYB) tegen Instagram. De GDPR en het daarin voorziene samenwerkingssysteem verplichten de Belgische Gegevensbeschermingsautoriteit om deze klacht over te maken aan de Ierse collega’s. Wat ook is gebeurd. Nu, een jaar later, is deze klacht nog steeds hangende maar weet de Belgische autoriteit niet wat de stand van het onderzoek is, laat staan dat een voorstel van beslissing voorligt. Eén jaar later moeten de klager en de Belgische autoriteit vaststellen dat niets kan gedaan of meegedeeld worden. Het systeem van de ‘one-stop-shop’ legt niet alleen een zware verantwoordelijkheid bij een nationale gegevensbeschermingsautoriteit, maar ook een loodzware administratieve last in de schoenen van één autoriteit die, hoe dan ook, met beperkte middelen talloze klachten tegen deze bedrijven moet verwerken.[2] Er kan enkel worden vastgesteld dat het ganse systeem van de ‘one-stop-shop’ en het bijbehorende samenwerkingssysteem niet effectief kan werken wanneer één van de 28 autoriteiten alleen wordt geconfronteerd met een massaal aantal onderzoeken en klachten. Daarbij komt nog dat het voor een nationale autoriteit geen evidentie is om met de nodige onthechting en kracht op te treden tegen bedrijven of organisaties die belangrijke werkgevers c.q. belastingbetalers zijn, al is dat laatste blijkbaar ook niet meteen het geval. Dit is een element dat niet kan worden onderschat en waar geen enkele autoriteit aan ontsnapt.

Naast deze kolossale opdracht voor de leidende autoriteit, zonder termijnen of samenwerkingsverplichtingen, legt de GDPR dan wel plots stringente processen en draconische termijnen op voor de procedure voor het EDPB (European Data Protection Board). Samengevat: de finale beslissing van de leidende autoriteit, na kennisname van het standpunt van de andere betrokken autoriteiten, kan aangevochten worden bij het EDPB door elke betrokken autoriteit. De 28 autoriteiten hebben dan enkele weken de tijd om gezamenlijk tot een besluit te komen. Op zich is het een belangrijke verworvenheid van de GDPR om die uiteindelijke beslissingsmacht in handen te leggen van de verzamelde Europese gegevensbeschermingsautoriteiten. Maar ook hier is het belangrijk te vermelden dat de procedure weinig tijd voorziet en niet aangeeft op welke wijze de besluitvorming moet gebeuren. Gaat het om een volledig nieuwe beslissing of om het louter afwijzen of goedkeuren van de oorspronkelijke beslissing van de leidende autoriteit (of van het standpunt van een betrokken autoriteit)? Bij de discussies over het aannemen van het huishoudelijk reglement werd reeds duidelijk dat hierover in de schoot van de EDPB geen eensgezindheid bestond. Hoe dat in de praktijk tot evenwichtige en voldragen beslissingen zal leiden is nog een open vraag: op vandaag werd er immers nog géén enkele procedure voor het EDPB ingeleid, laat staan afgewerkt. Ook hier is het (bang) afwachten hoe men deze gordiaanse knoop zal ontrafelen en hoe de machinerie tot een performant geheel zal komen.

Een paard van Troje…

Met dit samenwerkingssysteem heeft de geroemde hervorming een paard van Troje binnengehaald die wel eens de vernietiging van het systeem zou kunnen betekenen. Veel hangt af van de effectiviteit van de samenwerking het komende jaar. Het is immers duidelijk geworden dat de vroegere klassieke justitiële weg ook niet in staat was om degelijk en snel te werken. De Facebook-zaak in België is dan wel géén bewijs van het falen van die weg (met één voorbeeld kan je geen algemene conclusies trekken) maar het is wel significant dat vier jaar na de initiële aanbevelingen en uitspraak in kort geding nog steeds niets werd beslecht.[3] Voor de effectieve rechtsbescherming van de Europese burger is dit op het zachtst gezegd een kleine ramp. Het is duidelijk dat een gezamenlijke beslissing van de gegevensbeschermingsautoriteiten hier een oplossing kan bieden. Maar dan moet er wel eerst gesleuteld worden aan het samenwerkingssysteem. Zo zou het voor de EDPB mogelijk moeten zijn om in bepaalde omstandigheden de volledige zaak te onttrekken aan de leidende autoriteit, via een evocatiebeslissing. Dit ondermijnt uiteraard het ‘one-stop-shop’-mechanisme ten voordele van de EDPB die dan gezamenlijk tot een besluit moet komen.[4] De wetgever liet zich bij het schrijven van de GDPR inspireren door het toezichtmechanisme van de mededingingsautoriteiten. Misschien moet dat model worden doorgetrokken, met de vaststelling dat wanneer de problematiek meer dan één land betreft het aan de Europese autoriteit is om het onderzoek te voeren én een beslissing te nemen. Dat moet dan in deze niet de Commissie of een commissaris zijn maar wel de EDPB.

Voor een communautaire aanpak ten nadele van de nationalistische keuze…

En daarmee is een ander manco van de GDPR opgedoken. Met enige bombarie is de GDPR voorgesteld als het Europese antwoord op de verscheidenheid die nog in de nationale omzettingswetgeving besloten lag.[5] Een eenvormige wetgeving en géén landelijke zijsprongen meer. Maar ook hier is de GDPR toch wel kreupel uit het hele proces gekomen. Er is niet alleen het merkwaardige hoofdstuk IX, dat alles weg heeft van een (vage) richtlijn en niet van een verordening. Op niet onbelangrijke twistpunten laat de GDPR de keuze aan de nationale wetgever: de leeftijd van toestemming voor minderjarigen, het toepassingsgebied van de administratieve sancties of een inperking van de rechten van de betrokken burger. Even merkwaardig is het feit dat de nationale autoriteiten de eerste viool van het Europese gegevensbeschermingsrecht spelen, wars van het subsidiariteitsprincipe. Het is nog steeds bizar te moeten vaststellen dat onder de vlag van een ééngemaakt Europees rechtstelsel er toch geopteerd werd om het roer in handen te geven van de nationale gegevensbeschermingsautoriteiten. Dit terwijl het voor iedereen duidelijk was dat de problematieken die vernieuwing vroegen voor heel Europa dezelfde waren: de globalisatie en de nieuwe informatietechnologieën.

Als we al mogen hopen op enkele kleine bijsturingen door de Europese wetgever, vrees ik dat er voor een stuurcorrectie van nationale autoriteiten naar een Europese géén animo zal zijn. Wetende hoe moeilijk het is om het schip in de Europese legistieke wateren ook maar enkele graden bij te sturen is het bijna lachwekkend om te hopen dat een serieuze koerswijziging erin zit. Over een maand start de Commissie met de eerste evaluatie van de GDPR die in mei 2020 moet worden afgerond. Misschien zal de kritiek die hier geschreven wordt ook in dat evaluatierapport doorklinken en hopelijk zal dit aanleiding kunnen geven tot lichte aanpassingen. Maar het lijkt compleet illusoir dat het communautaire meer zou gaan doorwerken. Het is bij het samenstellen van het voorzitterschap van de EDPB géén punt geweest, maar die politiek kan wel de inzet worden van een volgende keuze: door het uitbouwen van een sterk voorzitterschap en secretariaat kan de EDPB minstens in het geleverde werk het zwaartepunt verleggen. Zeker wanneer de aan zet zijnde nationale toezichthouders falen in een efficiënte rechtshandhaving.

De ontbrekende schakel: de e-privacy verordening als sluitstuk

De Europese hervorming van het privacyrecht bestaat uit vier onderdelen: de GDPR als referentietekst en de richtlijn politie en justitie.[6] Als derde onderdeel kwam op 23 oktober 2018 de verordening voor de Europese instellingen tot stand.[7] Deze laatste tekst was beloofd tegen 25 mei 2018  om dan met de twee andere eerdere teksten van toepassing te worden, alsook met een nieuwe verordening om de vroegere e-privacy richtlijn van 2002 te vervangen. Deze vierde akte van het Europese parlement en de Raad moest het sluitstuk zijn van de volledige Europese hervorming van het gegevensbeschermingsrecht. Dit moest, samen met de vernieuwde conventie 108 van de Raad van Europa het geheel afronden. Samen vormen ze de sluitsteen die de bogen van het gewelf van de gegevensbescherming definitief moest vastklikken en het geheel stevig moest verankeren.  

De lakmoesproef voor de GDPR

Maar dat is niet gelukt. Spijts verwoede pogingen van het Bulgaarse voorzitterschap, en van de Roemenen, is de Europese Raad er niet in geslaagd om een gelijkgestemd voorstel te doen. Het eerdere voorstel van de Commissie van 10 januari 2017 werd door het Europese parlement scherp bekritiseerd, niet in het minst na het Cambridge Analytica schandaal. Niettemin doen een flink pak nationale staten, inclusief België, hun uiterste best om de bestaande richtlijn van 2002 dermate te liberaliseren dat er nog weinig overblijft van de bijzondere bescherming die de elektronische communicatie verdient. Gelukkig zijn er sterkhouders die het beschermingsniveau van 2002 verdedigen. Ondertussen blijft het Europese bouwwerk van de gegevensbescherming wel onafgewerkt. Deze verordening is uitermate belangrijk, niet alleen door de materie die zij zal beheersen maar ook als lakmoesproef voor het sérieux die de Europese wetgever geeft aan gegevensbescherming. De inzet van deze discussie is hoog: worden de principes van de GDPR en de specifieke kwetsbaarheden van de elektronische wereld beschermd of worden die zonder veel extra zorg overgelaten aan de industrie?         

GDPR en mensenrechten

Wordt er gekozen voor een mensenrechtelijk aanvaardbaar beschermingsniveau dan wel voor een e-privacy verordening die het de bedrijven zo gemakkelijk mogelijk maakt? Dat is de hamvraag. Wanneer we vaststellen dat de GDPR de hoofdvestigingsplaats van het bedrijf in kwestie als criterium neemt, en niet de plaats waar de betrokken burger zijn rechten kan uitoefenen, is het overduidelijk dat toen de voorkeur werd gegeven aan de multinationals. Het wordt bang afwachten.

Het bilan van het eerste jaar GDPR in actie is betreurend zwak. Van de zo enthousiast aangekondigde versterkte bescherming is tot nu toe bitter weinig werkelijkheid gebleken. Het wordt uitkijken wat het komende jaar brengt, nu de autoriteiten en de samenwerking op kruissnelheid komen. Dan kan bewezen worden dat onder de nieuwe glimmende carrosserie van het vehikel ook een krachtige motor schuilgaat. Misschien een trage diesel, maar met voldoende power om het zo urbi et orbi verklaarde beschermingsniveau écht waar te maken.


Voetnoten

[*] Willem Debeuckelaere is voormalig voorzitter van de Federale Privacy Commissie en van de Liga voor Mensenrechten.

[**] Dit stuk verscheen als artikel in het Tijdschrift voor Mensenrechten in juli 2019 (nr.2, pp. 9-12). Vond je het interessant en wil je nog meer lezen? Abonneer je dan op het Tijdschrift voor Mensenrechten. Het Tijdschrift voor Mensenrechten is een uitgave van de Liga voor Mensenrechten en komt vier keer per jaar uit. De redactie is autonoom.

[1] Door de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.

[2] Ondertussen zijn er niet alleen de vier voornoemde klachten van 25 mei 2018, maar honderden klachten vanuit bijna alle Europese landen.

[3] Begin mei werd een procedure ingesteld om prejudiciële vragen voor te leggen aan het Europees Hof van Justitie over onder meer de gevolgen van de GDPR op deze lopende procedure.

[4] Of die deze beslissing toebedeelt aan een andere nationale autoriteit, wat moeilijk te verdedigen lijkt. Tenzij het mogelijk wordt om, bij het stilzitten van de leidende autoriteit, een betrokken autoriteit de bevoegdheid te geven om op te treden. 

[5] Een beetje merkwaardig dat de Commissie tot een dergelijk besluit kwam nadat zij voordien in haar laatste evaluatieverslag over de richtlijn EU 95/46 tot de vaststelling was gekomen dat het op dat vlak goed.

[6] beiden van 27 april 2016 (respectievelijk (EU) 2016/679 en 680)).

[7] (EU) 2018/1725)

Reageer

Reacties worden gemodereerd. Onaanvaardbare inhoud wordt niet gepubliceerd.

Nieuwsbrief

Ontvang onze nieuwsbrief