Privacyregels starten in chaos
Activist Max Schrems Foto: Dieter Telemans
Activist Max Schrems klaagt Facebook en Google aan omdat ze de toestemming voor het verwerken van gegevens van hun gebruikers zouden ‘afdwingen’.

Dat de General Data Protection Regulation (GDPR) eraan kwam, wisten bedrijven al twee jaar. Toch was de start vrijdag een wanordelijk gebeuren, met uiteenlopende interpretaties van de kersverse  Europese regels inzake gegevensbescherming. Al op de eerste dag maakte de organisatie Noyb.eu van de nieuwe wetgeving gebruik om internetreuzen Facebook en Google aan te klagen bij de pas opgerichte gegevensbeschermingsautoriteiten (GBA’s), die de nationale privacycommissies vervangen.

Noyb.eu is de nieuwe organisatie van Max Schrems, de Oostenrijkse activist die al jaren Facebook achtervolgt met – vaak succesvolle – juridische klachten. Met Noyb.be wil hij waken over de correcte uitvoering van de GDPR. 

Wat is de ‘dienst’?

De GDPR vereist onze ‘geïnformeerde toestemming’ alvorens onze gegevens kunnen worden vergaard en gebruikt. En de grote internetbedrijven informeerden ons de jongste dagen inderdaad over hun vernieuwde gebruiksvoorwaarden. Maar is er wel sprake van ‘toestemming’ als je eigenlijk geen keuze hebt? Volgens Schrems mag toestemming niet ‘gedwongen’ zijn en mag die niet voor verschillende zaken worden gebundeld. Twitter, bijvoorbeeld, pakt het anders aan: je kunt er verschillende vormen van tracking en reclame goed- of afkeuren.

‘Dit gaat recht naar de essentie van de GDPR’, zegt Patrick Van Eecke, professor internetrecht aan de UAntwerpen. De GDPR stelt dat bedrijven alleen gegevens mogen bewaren die nodig zijn voor het leveren van hun dienst. Maar wat is de dienst die, bijvoorbeeld, Google Maps levert? Bestaat die er alleen in je te helpen op je bestemming te raken? ‘Wat Facebook en Google zeggen, is dat ze hun gratis dienst niet kunnen leveren zonder gepersonaliseerde advertenties’, zegt Van Eecke. Die maken dus integraal deel uit van de dienst. ‘Maar Schrems, en vele anderen, zeggen dat deze interpretatie niet kan.’ 

België

De auteurs van de GDPR hebben dit in het midden gelaten. Het zal dus eerst aan de GBA’s en de rechtbanken zijn om uit te maken wie de juiste interpretatie heeft: Facebook en Google, of Max Schrems.

Schrems dient vier klachten in: tegen Google, tegen Facebook en tegen Facebook-dochters Instagram en Whatsapp. Elke klacht gaat naar een verschillende GBA: de Franse, Belgische, Hamburgse en Oostenrijkse. Niet toevallig allemaal landen (of een regio) die al forse standpunten op het vlak van privacy hebben ingenomen. Dat de klacht tegen Instagram bij de pas opgerichte Belgische GBA belandt, heeft zeker te maken met het succesvolle proces dat de voorganger van de GBA, de Privacycommissie, tegen Facebook voerde – de sociale netwerksite werd eerder dit jaar veroordeeld voor het online volgen van niet-abonnees.

Met deze keuze neemt Schrems wel een risico: Facebook en Google kunnen makkelijk de bevoegdheid van de GBA’s betwisten. Want de GDPR bepaalt dat zij onder de verantwoordelijkheid vallen van de GBA in het land waarin hun Europese afdeling haar hoofdkwartier heeft, met name Ierland.

In theorie kunnen de aangeklaagde bedrijven veroordeeld worden tot een boete van 4% van hun wereldwijde omzet. ‘Waarschijnlijk komen er niet meteen miljardenboetes’, schrijft Schrems in een persmededeling. ‘Maar deze bedrijven hebben moedwillig de GDPR overtreden, dus wij verwachten een overeenkomstige straf.’ 

In het verleden haalde Schrems al verschillende keren gelijk tegen Facebook, op basis van de vorige privacywet. Maar hij heeft ook al processen verloren. Een van zijn wapenfeiten is dat hij het Europese systeem van de ‘safe harbor’, die Amerikaanse bedrijven toeliet om gegevens van Europese burgers te exporteren, onderuit haalde.

Organisaties bombarderen al weken hun contacten met e-mails waarin toestemming wordt gevraagd voor het gebruik van persoonsgegevens, ook al zeggen experts dat die mails meestal niet nodig zijn. Vooral sinds vrijdag verwelkomen websites hun gebruikers met een uitnodiging om de nieuwe gebruiksvoorwaarden te lezen, en in veel gevallen ook om bepaalde instellingen in te kijken en te wijzigen. Vooral in de VS heerst daarover nog heel wat verwarring. Veel websites openen er nu, zoals de Europese, met een waarschuwende pop-up – in de VS een nieuw fenomeen. Maar websites zoals die van de Los Angeles Times gingen plots op zwart voor Europese gebruikers. De krant ‘bekijkt de opties’ om haar website in overeenstemming te brengen met de nieuwe Europese wetgeving.

Ook de populaire app Instapaper is tijdelijk onbruikbaar in Europa, net als  Unroll.me. En Klout, de website die je populariteit op Twitter meet, stopte er vrijdag definitief mee. Dat de GDPR dode letter zou blijven, kan niemand nog beweren.