De nieuwe Europese privacywet (AVG) geeft burgers meer controle over hun data. Maar het verleden wijst uit dat burgers daarmee weinig opschieten.
Dat betoogt Viktor Mayer-Schönberger, hoogleraar internetbestuur en regulering aan de University of Oxford, in een interview met Elsevier Weekblad.
Mayer-Schönberger, wiens boek De data-economie vorige week in Nederland verscheen, is groot voorstander van een betere regulering van data-gebruik door techbedrijven als Google en Facebook. Maar de nieuwe Europese privacywet, die vanaf 25 mei dit jaar burgers het recht geeft om hun eigen data bij bedrijven op te vragen en te laten wissen, is volgens de hoogleraar een stap in de verkeerde richting.
Waarom werkt de wet niet volgens u?
‘Wat de wet doet, is de burger meer zeggenschap geven over zijn data. Maar daar ligt niet de oplossing. Dat hebben we in het verleden gezien. Elke keer als we burgers meer verantwoordelijkheid gaven, veranderde er niets. Mensen zijn niet geoefend in het beschermen van hun data. Ze klikken blind alle vinkjes aan. Daarom zal een wet die mensen nog meer verantwoordelijkheid geeft niet zorgen voor een betere data-bescherming.’
Wat is dan wel de oplossing?
‘Regulering. Als een bedrijf gevoelige informatie wil gebruiken, dan moet het door een veiligheidsproces heen waarin alle risico’s en gevaren voor gebruikers worden getoetst. Vergelijk het met een fabrikant die een nieuwe auto wil laten ontwikkelen. Die moet allerlei veiligheidsprotocollen volgen die er onder meer voor zorgen dat een auto niet omslaat in de bocht. Inspecteurs van buitenaf kijken mee of hij het goed heeft gedaan. De eindgebruiker kan er zo op vertrouwen dat de auto veilig is.
‘Je kunt die verantwoordelijkheid niet bij burgers neerleggen. Mensen gaan toch ook niet met een klein scheikundig lab in hun jas naar de supermarkt om daar elke tomaat te testen? Nee, er zijn processen en keurmerken die ervoor zorgen dat jij ervan kunt uitgaan dat die tomaat in orde is.’
Waarom is die data-regulering nog niet op orde?
‘Data-bedrijven zijn er de afgelopen twintig tot dertig jaar donders goed in geslaagd om wetten te ontwijken. Deze bedrijven zijn zo machtig dat ze ervoor hebben gezorgd dat we nog steeds compleet achterhaalde databeschermingswetten hebben die ervan uitgaan dat alle burgers braaf alle privacyvoorwaarden lezen en goed in staat zijn om hun eigen privacy te beschermen. De werkelijkheid is anders, en niemand is bij machte daar iets te doen. We zijn afhankelijk van een paar privacy-activisten die het moeten opnemen tegen Facebook!’
Wat stelt u voor?
‘In ons boek doen we een serie voorstellen voor wet en regelgeving die zullen zorgen voor verantwoord datagebruik. Denk aan een verplichting voor grote techbedrijven om hun data te delen met kleinere spelers in de markt of met publieke instanties. Ook stellen we een nieuw databeveiliging- en privacyregime voor dat bedrijven verplicht om een uitvoerige schade- en risico-analyse uit te voeren op hun producten die data verzamelen. Er moeten tuchtwetten komen en derde partijen met stevige opsporingsbevoegdheden moeten tijdens het hele proces meekijken.’
Veel van deze grote techbedrijven, zoals Google en Facebook, zijn gevestigd in Amerika. Is het wel verstandig om onze data te laten verwerken onder wetten waarop wij zelf geen democratische invloed hebben?
‘Ik begrijp die zorg, maar dat zou betekenen dat we geen gebruik meer zouden kunnen maken van de diensten van bedrijven die buiten de Europese Unie gevestigd zijn. In mijn ogen is dat niet de oplossing. Waar zijn we precies bang voor? Privacy wordt vaak onterecht geframed als ‘wij geven onze informatie weg aan een bedrijf en dat is erg’. Maar het weggeven van informatie is niet het probleem. Het gaat erom wat ermee wordt gedaan. Als het in mijn voordeel wordt gebruikt, heb ik er misschien wel vrede mee. Als ik een gratis e-mail-account krijg in ruil voor toegang tot mijn e-mails, dan vind ik dat misschien wel prima. Zolang die data maar goed worden versleuteld. Uit Apple-zaken tegen de FBI weten we dat het heel lastig is om de codes van goed versleutelde informatie te kraken.’
Maar hoe weet ik zeker of Google niet nog meer dingen met mijn data doet?
‘Aha, dat is het punt! Precies daarom moeten we ervoor zorgen dat databedrijven onze informatie op een betrouwbare en verantwoordelijke manier gebruiken. En de enige manier om dat te bereiken is door regulering.’
Maar we kunnen de Amerikaanse regelgeving niet beïnvloeden.
‘Klopt, maar de meeste grote Amerikaanse dataverzamelaars hebben economische activiteiten in Europa en vallen dus onder Europese wetten. Google, Apple, Amazon en Facebook spreken dit ook niet tegen, ze waren alleen zo slim om de minst restrictieve EU-leden uit te kiezen. Daarom is het zo belangrijk om overal dezelfde belasting- en privacystandaarden te hebben in Europa.’