Privacyorganisatie noyb heeft grote techbedrijven aangeklaagd, omdat die de Algemene verordening gegevensbescherming (AVG) zouden schenden. Dat meldde Nu.nl onlangs. Dat klonk interessant, maar het bleek tegen te vallen: ze hebben gewoon een klacht ingediend bij de Oostenrijkse Autoriteit Persoonsgegevens, in de hoop dat die de techbedrijven Netflix, Amazon, Spotify, YouTube en Apple (en nog een paar) gaat aanpakken. Dat is een loffelijk streven en daar hebben we die toezichthouders ook voor, maar echt opschieten doet het niet. Ik had zo graag gehad dat ze zélf een rechtszaak waren begonnen. Want ik geloof er heilig in dat private handhaving de toekomst van de AVG gaat worden.
De kracht van een wet zit hem altijd in de handhaving. De hele reden dat iedereen zo hard is gaan rennen vanwege de AVG, is omdat men vreesde voor hoge boetes die door actieve toezichthouders zouden worden opgelegd. En de AVG kent natuurlijk megaboetes, daar is iedereen het over eens. Maar mijn grote zorg is altijd geweest dat de handhaving zeer beperkt zou zijn, zodat voor kleinere bedrijven de sfeer zou ontstaan van “wij worden niet gepakt” / “dit gaat over megabedrijven”.
Gelukkig zie ik langzaam maar zeker wat handhaving, zoals de Fransen die Google aanpakken met een boete van 50 miljoen voor de vaagtaal in hun privacyverklaring (“onze verscheidenheid aan diensten verwerkt diverse persoonsgegevens op allerlei manieren om uw gebruikservaring te optimaliseren”). In Nederland laat de AP zich ook zien met steekproefonderzoeken in de private sector. Maar het blijft mondjesmaat, en ik denk dat dat onvermijdelijk is bij handhaving door de overheid. Massale handhaving (de 100% controle) zie je eigenlijk nergens.
De AVG kent echter nog een ander mechanisme, dat behoorlijk onderbelicht is gebleven. Op grond van artikel 79 AVG mag iedere betrokkene een rechtszaak starten tegen een onrechtmatig gebruik van zijn persoonsgegevens, en daarbij zelfs schadevergoeding (artikel 82 AVG) eisen. Het praktische probleem daarbij is natuurlijk dat de kosten van een rechtszaak snel op kunnen lopen, en dat er op dit moment geen duidelijkheid is wat die schade dan in Euro’s zou moeten zijn. Er zijn nog geen richtsnoeren voor privacyschendingen op dat gebied.
Er is echter nóg een mechanisme waardoor dit interessanter gaat worden: artikel 80 AVG stelt de mogelijkheid voor massaclaims open, door organisaties die consumenten vertegenwoordigen op een bepaald gebied. Precies, zoals noyb dus. Zij mogen namens betrokkenen naar de rechter, en kunnen daarbij massa-schadeclaims indienen “indien het lidstatelijke recht daarin voorziet”. En dat kan zelfs zonder specifieke opdracht of mandaat van die betrokkenen, als het nationaal recht daarin voorziet.
In Nederland is het op dit moment zo dat een belangenorganisatie geen schadevergoeding kan eisen in een massaclaim (art. 3:305a BW). Daar wordt al jaren aan gesleuteld, zonder al te veel succes. De angst bij bedrijven voor massaclaims is natuurlijk groot, dus het lobbywerk heeft de mogelijkheden hier fors ingeperkt. Ik zie in de AVG echter meer ruimte voor zo’n organisatie, en omdat de AVG boven nationaal recht gaat, is dat lobbywerk misschien eenvoudig te passeren. Daarmee zou de weg vrij zijn voor een AVG-claimclub die namens consumenten (maar zonder aparte machtiging per consument) grote bedragen gaat halen.
Mijn stellige overtuiging is dat zodra er een paar van die clubs een actie starten, we vrij snel duidelijkheid krijgen over wat de schade van gebruik van een persoonsgegeven zou moeten zijn. En zelfs al is dat maar tien euro voor basale gegevens, een claim voor een miljoen van die gegevens loopt toch snel op. Ik zou als bedrijf héél wat zenuwachtiger worden van een private organisatie die tien miljoen wil komen halen, dan van een toezichthouder die dreigt met een boete van datzelfde bedrag.
Arnoud
https://blog.iusmentis.com/2019/01/25/ja-deden-ze-dat-maar-privacygroep-klaagt-amazon-apple-en-netflix-aan-om-schenden-avg/
