Eerst tuigden juristen een gecompliceerde Algemene Verordening Gegevensbescherming op, met ondermeer vierduizend amendementen op het eerste ontwerp van Viviane Reding in 2012 tot gevolg.

Vervolgens strijkt de advocatuur honderden miljoenen euro’s op om bedrijven en overheden in 28 landen aan die regels te laten voldoen en/of ze zo veel mogelijk te ontwijken. En verveelvoudigt die omzet de komende jaren nog met rechtszaken en juridisch advies.

Ondertussen hebben wij burgers de afgelopen weken honderden keren mogen klikken om in te stemmen met nieuwe privacyvoorwaarden van diezelfde juristen. De vragen kwamen allemaal tegelijk, niemand had zin en tijd om te lezen, dus privacy was op geen enkele manier gediend.

Integendeel, bedrijven zien hun kans schoon om op sluwe wijze extra toestemmingen te verkrijgen. Zoals Facebook dat de gezichtsherkenning erdoor jast. En Twitter dat even wil regelen dat we al onze contacten delen.

De formuleringen van de verzoeken tot instemming zijn zelfs voor een hoger opgeleide niet een-twee-drie te begrijpen en dat is precies de bedoeling. Ook al schrijft de AVG begrijpelijke taal voor. Heel internet stoelt op verleiding, vooral met gemak gegoten in ontwerpen en formuleringen. (Zie Darkpaterns.org). Overigens niets anders dan cola en sigaretten die producenten binnen de wet ook zodanig samenstellen dat ze het meest verslavend zijn.

Omzet voor juristen, kosten voor burgers

Advocatenkantoren met privacy als specialisatie - en hun aantal groeide wonderwel als kool - draaiden overuren afgelopen jaar. Dat zijn met 250 tot 450 euro per uur niet de tarieven van pakketbezorgers.

In de Verenigde Staten is de ‘legal services industry’ in 2018 goed voor een omzet van naar schatting bijna 300 miljard dollar. Dat is zo’n 1,7 procent van het nationaal product. In de EU stijgt dit percentage snel, maar blijft nog beneden de 1 procent. Nederland heeft volgens deze Amerikaanse schatting zelfs het laagste percentage, ofschoon inmiddels waarschijnlijk flink gestegen

Overdreven accent op juridische privacykosten? Zeker niet: alleen al het zinloze klikken op cookiemeldingen als gevolg van de ePrivacy richtlijn – steeds anders vervat in nationale wetgevingen - heeft de Europese Unie volgens een ruwe schatting al 2,3 miljard dollar gekost, bijna 2 miljard euro.

Dit zijn, zo zal de juridische industrie tegenwerpen, niet haar kosten maar die van consumenten om steeds de cookie-pop-ups weg te klikken: 2 seconden per keer volgens de onderzoekers. Ook een gevolg van kat-en-muis in een juridisch gedomineerde privacymarkt. De afgelopen week hebben we, veelal tijdens het werk weer honderden keren mogen klikken voor instemming met cookies, privacyvoorwaarden en mail.

Terwijl er voor organisaties voor zeker honderden miljoenen aan interne en ingehuurde juridische productie is gedraaid als gevolg van de vereisten van de AVG. Niet zelden werkten de betrokken juristen eerst als lobbyist of adviseur in Brussel mee aan de formuleringen van de GDPR (General Data Protection Regulation) en plukken er na een overstap naar een advocatenkantoor nu de vruchten van.

Om te beweren dat de opstelling en uitvoering van de AVG één groot opzettelijk juridisch bedrog is, is wat grotesk en een vorm van complotdenken. En bovendien niet handig, want zoveel advocaten als profiteurs afschilderen brengt je al snel voor een rechtbank. Dat de AVG tot op heden meer oplevert voor de bankrekeningen van juristen dan voor de privacy van de 500 miljoen EU-burgers, is geen overdrijving.

Spannende vergeetrecht en dataoverdracht

Dit klinkt allemaal wat cynisch, maar het is de barre realiteit op 27 mei 2018, 48 uur na de ‘grote datum’ waar tot vervelens toe voor is gewaarschuwd als de Grote Stap Voorwaarts voor privacy. Brengt deze AVG dan helemaal geen voordelige veranderingen voor burgers met zich mee in de praktijk? Zeker wel, maar ook de toepassing en uitwerking van de regels moeten eerst langs juridische voetangels en klemmen. Terwijl rechtbanken en toezichthouders onderbemand zijn. En het leidt tot nog veel meer juridische kosten.

1) Zonder dat de gebruiker akkoord gaat met voorwaarden mag een aanbieder de dienst niet subiet weigeren. Reden genoeg voor Facebook-bestrijder Max Schremms om direct na inwerkingtreding van de AVG op 25 mei 2018 klachten in te dienen tegen Google en het trio Google, Facebook/Instagram/WhatsApp, in Duitsland, Oostenrijk, Frankrijk en België

2) Aan het bestaande recht om op te vragen wat een organisatie aan data van een burger verzamelt (zie hier de voorbeeldbrief van Bits of Freedom, of van de BKR), en om die vervolgens te laten corrigeren, is het recht voor een individu toegevoegd om data te laten wissen (Artikel 17), te eisen om datagebruik te beperken (Artikel 18) en data over te laten dragen (Artikel 20)

3) Dat recht op vergetelheid, op deze site Vergeetrecht genoemd, is in Artikel 17 van de AVG zodanig verwoord dat daarover weer allerhande disputen ontstaan gezien de voorwaarden. Immers, je kunt bijvoorbeeld geen data laten verwijderen die de partij in kwestie nog moet gebruiken of die nodig zijn ‘voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie’. Dat wordt juridisch boeiend, maar ook inhoudelijk. Hoe ver reikt het ‘verwijderrecht’?

Lid 2 lijkt ook boeiend: een partij moet ook de verwerkers van de persoonsgegevens die hij publiceerde ervan op de hoogte stellen dat ze iedere kopie of reproductie van die verwijderde persoonsgegevens moeten wissen. Dus Facebook zou elke marketingpartij daarvan op de hoogte moeten stellen. Maar ook hier weer een ‘verzachtende’ voorwaarde: ‘rekening houdend met de beschikbare technologie en uitvoeringskosten’. Is een algemene mededeling gericht aan verwerkers van data afdoende, of moet elke verwerker worden benaderd?

4) Het verplicht meewerken aan het overdragen van data naar een andere partij zal in dezelfde disputen kunnen vervallen. De vraag is of bedrijven verplicht kunnen worden data aan te bieden of over te nemen in een formaat dat niet direct softwarematig is te behappen.
De betrokkene heeft het recht zijn data ‘in een gestructureerde, gangbare en machineleesbare vorm’ te verkrijgen. En ook ‘automatisch’ kunnen overdragen aan een andere aanbieder? Dit lijkt er niet op. Stel dat de overdracht geheel automatisch kan plaatsvinden, dan zouden gebruikers van bijvoorbeeld Facebook die naar een nieuwe concurrent overstappen het sociale net in korte tijd kunnen leegtrekken.

Big data en anonieme gegevens

De traditioneel juridische premisses van de hele privacywetgeving leiden al tot disputen over simpele vragen als: wat zijn persoonsgegevens en ‘personifieerbare gegevens’. Dit gaat zeker spelen in de zogenaamde big data. Aggregatie, anonimisering en pseudonimisering zouden ertoe moeten leiden dat gegevens niet meer tot een persoon herleidbaar zijn. In hoeverre is dat steeds het geval?

In een presentatie afgelopen week voor een congres van Kerckebosch maakte Bart van der Sloot – die een aardig boek schreef over de AVG – kristalhelder hoe moeilijk het is om grenzen te bepalen. Bijvoorbeeld ook voor de vereiste dat een computersysteem geen zelfstandige besluiten mag nemen: bijvoorbeeld mogelijke (groepen van) verdachten uitspugen na een patroonanalyse van data.

Ja, zeggen bedrijven en overheden dan, we laten er eerst een persoon naar kijken die de eindselectie doet van mogelijke verdenkingen, alvorens er personen worden geselecteerd die voldoen aan de patronen. In de medische wetenschap lijkt het voor de meeste mensen juist prettig dat ze vroegtijdig worden geselecteerd met een risico, maar in fraude- en criminaliteitsbestrijding (voorspellend rechercheren) bepaald niet.

Helpt klachtenregen de privacy?

 Stel dat burgers de komende maanden massaal organisaties vragen wat ze aan data hebben opgeslagen, hoe en waarom; en dat ze gaan eisen dat ze die data in machineleesbare vorm krijgen aangereikt; en dat ze eisen dat data worden verwijderd; en dat ze massaal klachten indienen bij de Autoriteit Persoonsgegevens als organisaties naar hun mening te laks reageren? Verbetert dan hun privacy aanzienlijk?

Op de eerste plaats is de Autoriteit Persoonsgegevens onderbezet, wordt slecht ge(A)leid en functioneert ondermaats. De AP heeft dit jaar tot nu toe al net zoveel klachten over privacy ontvangen als in heel 2017 bij elkaar, en kan die niet verwerken. De slagkracht van de club is minimaal.

Bovenal moet de wet nog worden uitgelegd in de praktijk. De juridische kracht van het bedrijfsleven (en overheden in mindere mate) is veel groter van de toezichthouder. Die schermt al met miljardenboetes, maar dat is voor grote concerns juist een reden om nog meer in advocatuur te investeren om die boetes te bestrijden. Verbetert onze privacy dan aanzienlijk?

Het lijkt er meer op dat we van de Wet bescherming persoonsgegevens naar de AVG of GDPR van de regen in de drup zijn beland. De 88 pagina’s van de vertaalde AVG vormen principieel een opt-out regelgeving: partijen mogen data verzamelen en daar moet je als burger proberen een bres tegen op te werpen.

Waarom eigenlijk data verzamelen?

Met de anti-spam regels geldt het principe van opt-in: je mag mensen niet zomaar (commerciële) mail sturen, tenzij ze expliciet toestemming vooraf geven. Ook dat wordt vervuild met juridische formuleringen en trucs, maar het principe is helder. In vergelijking daarmee is de hele datawetgeving met de AVG een mislukking.

En dus vraag ik me af waarom dit principe met dataverzameling niet wordt gehanteerd: een opt-in. Google, Facebook, Bol.com etc. mogen pas data verzamelen als een klant er expliciet toestemming voor heeft gegeven. En daarbij hoort ook een principe dat we zelf de data beheren, en vervolgens bepalen wie er voor welke periode in wel deel van de persoonsgegevens inzage in mag hebben.

Dat zal een volgende noodzakelijke fase zijn in privacybescherming. Dan vragen we ons af, net als nu met het veel milieuverziekende activiteiten en met het roken: waarom zijn we er ooit voetstoots van uitgegaan dat het altijd en overal zomaar mocht, behoudens uitzonderingen?