Deze week publiceerde de Europese Commissie de lang verwachte GDRP-evaluatie 2020: een documentje van 17 pagina’s met beperkte kritiek, ondersteund door een persbericht dat trompettert: ‘Commission report: EU data protection rules empower citizens and are fit for the digital age.’

En een feitenrelaas van twee lousy pagina’s dat volgens de Commissie een ‘sucess-story’ behelst: bijna 800 boetes uitgedeeld door Europese toezichthouders tussen de datum van invoering van de AVG, 25 mei 2018, en november 2019 - toen de Europese ambtenarij de evaluatie kennelijk al moest afronden.

Beperkte enquête onder burgers

Het feitenrelaas rust deels op een enquête onder Europese burgers, van het Agentschap voor Fundamentele Rechten (FRA) van de EU, uitgevoerd door de statistiekbureaus van Nederland (CBS), Luxemburg en Oostenrijk onder 26.000 burgers in de lidstaten; de meeste in Nederland – 1.600 – wat te maken kan hebben met de uitvoering door het CBS.

Van de bevraagden zegt 69 procent van de GDPR gehoord te hebben en in Nederland antwoordde 72 procent van de AVG te weten.  Dat er een toezichthouder is, zegt 71 procent van de bevraagde EU-burgers te weten; in Nederland 77 procent. Of ze er ook wat aan hebben is niet gevraagd of niet gerapporteerd.

Grootste probleem van dit onderzoek is dat mensen gevraagd is naar meningen en niet naar feitelijke omgang met databescherming onder invloed van de AVG. Een paar uitkomsten vallen op: de helft van de burgers weet niet dat ze inzagerecht over verwerkte persoonsgegevens hebben bij bedrijven en 40 procent weet niet dat ze dit recht hebben bij overheden.

Hoe vaak er van dit recht gebruikgemaakt is, wordt niet gerapporteerd, maar je mag ervan uitgaan dat dit minder dan 1 procent is. Ook wordt er helemaal niets gerapporteerd over het gebruikmaken van correctie- en verwijderrecht. En al helemaal niet over het recht om een kopie van de verzamelde persoonsgegevens te vragen om deze over te dragen op een andere (concurrerende) aanbieder: recht op portabiliteit

Er is braaf gevraagd welke soort gegevens mensen zouden willen delen met welke soort organisaties. En of ze zich zorgen maken over privacy. Maar dat is niet relevant als je wilt weten of wetgeving werkt. Wordt er gebruik van gemaakt, en hoe dan? Verbetert de databescherming, of zelfs de privacy?

PR-campagne is effectief

Wat vooral opvalt aan de evaluatie is het gebrek aan transparantie en vervolgens aan neutraliteit. Er ontbreekt een goed audit-rapport van een onafhankelijke instantie. Wie heeft nu precies wat gekeurd en op welke manier? In het verslagje staat dat de Commissie voor haar evaluatie kon bogen op de bijdragen van de Europese Raad, het Europees Parlement en de European Data Protection Board, de nationale toezichthouders, en de Multistakeholder Expert Group.

Het werkt, media in heel Europa berichten dat het wel redelijk tot goed gaat met die GDPR, met soms vermelding van schaarse kritische noten zoals te weinig mankracht bij toezichthouders – ook een punt van lobby, want de EU wil dat lidstaten meer geld investeren in toezicht. Ook de Europese coördinatie schiet tekort, weet de EU zelf.

Zelfs de EU zelf erkent dat de aanpak van concerns niet vlot: ‘Daar de grootste techconcerns in Ierland en Luxemburg zijn gevestigd, zijn de privacytoezichthouders van deze lidstaten leidend bij veel belangrijke grensoverschrijdende gevallen en ze hebben mogelijk meer middelen nodig dan conform hun bevolkingsomvang.’

En de Europese Commissie zwijgt over een van de belangrijkste elementen van de AVG: het verlenen van toestemming door personen aan gedrijven om gegevens te verwerken. Nog altijd worden privacyverklaringen niet gelezen en geven de meesten toestemming om van het gezeur af te zijn en snel naar van een site gebruik te kunnen maken.

Toegang voor burgers werkt niet

Dan hebben er 130 externe partijen commentaar verschaft, waaronder uit Nederland Esomar, NLdigital en burgers Joanna Strycharz en Simon Hania. De laatste: ‘…it becomes clear that the promise of GDPR to deliver on the right to data protection founded on unity in diversity has resulted in stagnation in bureaucracy.’

Daaronder is ook een gezamenlijke evaluatie van het Ivir van de Universiteit van Amsterdam, de Vrije Universiteit Brussel en Katholieke Universiteit Leuven. Dit is een fundamenteel rapport dat de toegang tot opgeslagen persoonsgegevens door burgers centraal stelt. Er wordt een serie van aanvragen voor inzage behandeld, veelal oud.

Met als conclusie dat het inzagerecht niet goed geregeld is en handhaving faalt: ‘Dataverwerkers voldoen structureel niet volledig aan de toegangsverzoeken… In die gevallen zullen de betrokkenen vaak een beroep moeten doen op de toezichthouders, maar hun handhaving…blijft relatief zwak.’

Toezichthouders – zoals de Nederlandse Autoriteit Persoonsgegevens - opereren traag en niet effectief. Hun grensoverschrijdende samenwerking is zwaar onder de maat, en ze kennen allemaal andere benaderingen.

Databescherming  zal volgens de drie universiteiten alleen zinnig kunnen worden als de vele betrokken partijen goed samenwerken en burgers het idee verschaffen dat het zin heeft om hun rechten uit te oefenen. Dat heeft de AVG (nog) niet bewerkstelligd.