Beheer

Governance
Privacy, data, Europa

Voor het reguleren van big tech is een ‘superdata-autoriteit’ nodig

Ierse DPC houdt toezicht op big tech, maar is zij daar de aangewezen organisatie voor?

20 augustus 2021

Ierse DPC houdt toezicht op big tech, maar is zij daar de aangewezen organisatie voor?

Sinds de Europese privacywetgeving AVG van kracht is geworden, hebben bedrijven die grensoverschrijdend gegevens verwerken met nog maar één privacytoezichthouder te maken. In het geval van techbedrijven is dat veelal de Ierse Data Protection Commission (DPC). Maar deze toezichthouder krijgt veel kritiek te verduren.

Voor de AVG in werking trad, hadden organisaties die in meerdere lidstaten van de Europese Unie (EU) persoonsgegevens verwerkten ook met meerdere privacytoezichthouders te maken. De AVG gaat juist uit van een ‘onestopshop’-mechanisme: organisaties hebben in de regel alleen met de privacytoezichthouder te maken van het land waar ze hun hoofdvestiging hebben. Veel techbedrijven – zoals Microsoft, Google en Facebook – hebben hun hoofdvestiging in de Ierse hoofdstad Dublin zitten.

De DPC moet dus niet alleen klachten uit het eigen land onderzoeken, maar ook een aantal uit andere Europese landen. En dat blijkt lastig: de afgelopen maanden wordt er veel geklaagd over de DPC. Critici stellen dat de DPC te lang doet over zijn onderzoeken, te weinig commissarissen heeft – er is ruimte voor drie commissarissen, maar er is er maar één: Helen Dixon - en te weinig geld krijgt voor zijn taken. De DPC kreeg voor 2021 een budget van 19,1 miljoen euro. Ter vergelijking: de Nederlandse Autoriteit Persoonsgegevens (AP) heeft dit jaar een budget van 24,6 miljoen euro.

Kantoor boven de supermarkt

“Ik denk dat het de aard van privacytoezichthouders is dat ze van meerdere kanten onder vuur komen te liggen”, zegt dr. Maria Grazia Porcedda, assistant professor in IT Law bij Trinity College Dublin, over de kritiek. “Ze hebben aan de ene kant de bedrijven waar ze toezicht op houden en aan de andere kant de wet en privacyvoorvechters. Er is een hele kosmos aan organisaties die geïnteresseerd zijn en radicaler zijn dan de autoriteiten. Dus ik denk dat de toezichthouders voorbestemd zijn om met spanningen van meerdere kanten om te gaan.”

Toch lijkt het er inderdaad wel op dat er problemen zijn, maar een deel daarvan bestond al voor de AVG van kracht werd. “We proberen oplossingen te vinden voor problemen die in de oude frameworks ontstaan zijn.”

Zo kregen veel toezichthouders – waaronder de DPC – ook voor de AVG niet genoeg geld en middelen om al het werk te verzetten. Sterker nog: de DPC had in 2015 een budget van slechts 3,65 miljoen euro, en 28 werknemers in een kantoor boven een lokale supermarkt, schreef The Irish Times destijds. “Hoewel Ierland voor de komst van de AVG al wel privacywetgevingen had, werd het ook toen als niet als een historische leider gezien als het gaat om de ontwikkeling wetgeving rondom databescherming”, zegt Porcedda daar nu over.

Daarnaast is er spanning over de definitie van het “afhandelen” van een zaak. DPC-commissaris Dixon stelde in april tijdens een hoorzitting in het Ierse parlement namelijk dat het “afhandelen” van een zaak niet per se betekent dat er ook een officiële beslissing volgt. “De terminologie hierover is niet heel duidelijk, dus daarover is veel discussie”, stelt Porcedda.

Het wiel steeds opnieuw uitvinden

Toch is het niet zo dat de kritiek niet helemaal onterecht is. Zo blijken onderzoeken van de DPC inderdaad erg traag te zijn: afgelopen december gaf de DPC voor het eerst een boete in een zaak die ook buiten de Ierse grenzen afspeelde. Maar daar ging wel een onderzoek van bijna twee jaar aan vooraf. Privacyactivist Max Schrems, bekend van de rechtszaak rondom Privacy Shield, wees er in april dit jaar bovendien op dat de DPC slechts 53% van de ruim 10.000 klachten die ze per jaar ontvangen afhandelen, maar een paar onderzoeken per jaar openen, en voor 2021 verwachten slechts zes of zeven officiële beslissingen te nemen. “Dat betekent dat op 99,93% van alle klachten geen beslissing volgt”, aldus Schrems in april.

“De cijfers wijzen duidelijk op een flinke backlog, maar de belangrijkste vraag is waarom er zo’n achterstand is”, legt Porcedda uit. “Er zijn verschillende meningen over of de DPC onderbemand is, last heeft van systematische problemen, simpelweg inefficiënt is of te mild is voor big tech. Al deze meningen moeten nauwkeurig onderzocht worden.” Critici stellen namelijk dat de DPC weigert of niet in staat is om de markt te reguleren. Commissaris Dixon ontkende dat afgelopen april tijdens een hoorzitting in het Ierse parlement stellig.

Vlag Europa

In deze serie onderzoekt AG Connect hoe organisaties en overheden in Europa omgaan met de afhankelijkheid van niet-Europese leveranciers. We spreken daarvoor met IT-beslissers, wetenschappers en organisaties uit verschillende Europese landen. De serie is mede mogelijk gemaakt door een bijdrage van het mediafonds van de Europese Unie.

Wel lijkt het erop dat de DPC constant het wiel opnieuw moet uitvinden. Commissaris Dixon noemde dat probleem ook tijdens de hoorzitting. “Geen twee zaken zijn hetzelfde. Op dit moment – net geen drie jaar sinds de regulering van kracht werd – is er weinig jurisprudentie om deze evaluaties te sturen en daarom vereist elke beoordeling een analyse van de eerste beginselen.”

Bovendien kent Ierland volgens Porcedda een diepgewortelde procescultuur. “Veel beslissingen worden aangevochten, wat betekent dat zaken erg lang duren.”

Oplossingen in de maak

De DPC probeert zijn werkwijze wel te verbeteren, benadrukt Porcedda. “Ze lijken erg goed om te gaan met de kritiek en proberen een aantal kritiekpunten te adresseren.” Dat deed de DPC afgelopen april bijvoorbeeld door een nieuwe strategie voor te leggen voor feedback.

De DPC zegt in die strategie onder meer zaken meer systematisch aan te willen vliegen, aan de hand van een risicogebaseerde aanpak. Daarbij geven ze dan prioriteit aan zaken die een grote, systematische impact hebben op veel mensen. “Dit is fascinerend, want ze maken een flinke sprong”, aldus Porcedda. “Volgens mij schuurt dit wel met de fundamentele rechten van databescherming en het idee dat ieder individu het recht heeft dat zijn klacht gehoord wordt. Mogelijk zorgt dit voor een nieuwe interpretatie van wat de AVG probeert te doen.”

“Daarnaast probeert de DPC in de strategie duidelijk te maken dat boetes ook niet alles zijn en dat de belangrijkste contributie is om de cultuur van de sector te veranderen.” Of dat zonder boetes kan, betwijfelt Porcedda echter. “In een economie die steeds meer door data gedreven wordt, waar de economie steeds meer draait om het verzamelen van zoveel mogelijk persoonlijk data, kun je de cultuur niet zomaar veranderen zonder wat aanmoediging. Dus ik denk dat het heel interessant wordt om de feedback op deze strategie te zien.”

AG Connect heeft de Data Protection Commission gevraagd om een reactie op de kritiek van de afgelopen tijd. De Data Protection Commission heeft niet op dat verzoek gereageerd.

Superdata-autoriteit

Maar uiteindelijk is de grote vraag of een enkele toezichthouder wel verantwoordelijk kan zijn voor zowel de nationale privacyklachten als voor een groot deel van de techgerelateerde klachten uit de gehele Europese Unie. “Daar heb je eigenlijk een superdata-autoriteit voor nodig, die drie of vier keer meer werknemers heeft. Daarnaast zou er permanent een vertegenwoordiger van alle toezichthouders uit de Europese Unie aanwezig moeten zijn.”

Een andere optie kan zijn om deze internationale verantwoordelijkheden bij een EU-organisatie neer te leggen, bijvoorbeeld de European Data Protection Board (EDPB). Toch ziet Porcedda dat niet per se als een goed idee. “De justitiële en handhavingsbevoegdheden die nodig zijn om een orgaan als de EDPB in staat te stellen om de taken van de nationale gegevensbeschermingsautoriteiten uit te voeren, zijn niet aan de Europese Unie toegekend. En ik denk dat je dan ook een stap te ver gaat. We moeten eerder een soort ambassade hebben met vertegenwoordigers van toezichthouders, die in een meer gecoördineerde en geïntegreerde structuur samenwerken.”

Mogelijk wordt er op korte termijn al wel wat druk weggehaald bij de DPC: het Europees Hof van Justitie besloot in juni dat nationale toezichthouders in de EU in bepaalde gevallen ook mogen optreden tegen bedrijven die de AVG schenden, zelfs als zij niet in dat land gevestigd zijn. Maar in hoeverre dat een oplossing is, moet nog blijken. “Deze beslissing is erg vers en waarschijnlijk zorgt het ervoor dat er opnieuw moet worden nagedacht over de verdeling van de werklast onder de nationale autoriteiten.”

MAGAZINE AG CONNECT

Dit artikel is ook gepubliceerd in het magazine van AG Connect (augustus 2021). Wil je alle artikelen uit dit nummer lezen, klik dan hier voor de inhoudsopgave.

Dossier Europa

Meer weten over de samenwerking in de Europese Unie op IT-gebied? Bekijk het overzicht op Dossier Europa.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.