Streven naar samen optrekken van recht en technologie
Bedrijven en organisaties die mateloos en zonder scrupules zoveel data verzamelen als ze maar kunnen. Daar tegenover de Algemene Verordening Gegevensbescherming (AVG) die bijna alles verbiedt. Het zijn twee beelden die steeds weer opduiken in publieke discussies over haar vakgebied, constateert Anna Berlee, sinds 2021 hoogleraar Gegevensbescherming en Privacyrecht aan de Open Universiteit. 'Maar het zijn karikaturen', zegt de juriste. De AVG voorkomt een data-wildwest. Bedrijven en overheden die de netten zo breed uitgooien dat ze de norm overtreden, riskeren boetes tot enkele procenten van hun wereldwijde omzet. 'Dat kan enorm oplopen.' Aan de andere kant hoeft diezelfde AVG geen sta-in-de-weg te zijn voor nieuwe ontwikkelingen. 'Je kunt nog steeds veel met gegevens. Het gegevensbeschermingsrecht verbiedt niet dat je persoonsgegevens verwerkt, maar slechts de verwerking van heel gevoelige persoonsgegevens zoals over iemands ras, gezondheid, of seksuele geaardheid. En zelfs op dat verbod zijn ook uitzonderingen mogelijk', zegt Berlee. 'Het uitgangspunt is dat je de gegevens netjes en eerlijk gebruikt, en met informatie openheid biedt aan mensen.'
Brug tussen juristen en techneuten
Een van de manieren om dat beter voor elkaar te krijgen is volgens Berlee een brug slaan tussen de juristen en de 'techneuten'. Dat gaat ze op de Open Universiteit ook doen. 'De meeste mensen in het recht zijn alfa’s, meestal geen types die in de avonduren voor de lol gaan zitten programmeren. Toch is het goed als ze op zijn minst een elementaire kennis van informatica verwerven. Alleen dan kunnen ze aan de voorkant, tijdens de ontwikkeling van nieuwe technologieën, de juiste vragen stellen. Alleen dan kom je tot verantwoorde en privacy-vriendelijke innovatie.'
Daar schort het nu aan?
'Dat samenwerken en -denken gebeurt nog onvoldoende. Zonder kan het makkelijk twee onwenselijke kanten opgaan. Vanuit het idee dat niks kan of mag dan maar niks aanpakken op het gebied van innovatie. Of de privacyregelgeving negeren en maar gewoon doordenderen. De bijbehorende risico’s worden soms toch op de koop toegenomen.'
Berlee was van jongs af aan een computerkind. 'We hadden thuis al snel meer computers staan dan dat we gezinsleden hadden. Ik maakte eigen websitejes.' Lachend: 'Hopelijk zijn die niet meer terug te vinden op het web trouwens.' Het recht kwam na de middelbare school min of meer per ongeluk op haar pad. 'Ik had eigenlijk geneeskunde willen studeren, maar werd drie keer uitgeloot. Dus dat werd hem niet. Toen ik eenmaal voor het recht koos, raakte ik daar snel aan verknocht. De vroege en nieuwe liefde kwamen ook gauw samen. Ik ging me richten op het samenspel tussen recht en computers. Mijn proefschrift ging over goederenrecht en gegevensbeschermingsrecht. Later werd dat steeds meer het gegevensbeschermingsrecht.'
Hoe kwam het hoogleraarschap op je pad?
'Een beetje per toeval. Ik werkte bij de Autoriteit Persoonsgegevens toen de decaan van de rechtenfaculteit van de Open Universiteit me benaderde. Of ik wilde meedenken bij de ontwikkeling van een master op het gebied van gegevensbescherming en privacyrecht? Dat deed ik met plezier. De samenwerking werd al snel intensiever en toen er een vacature voor hoogleraar werd geplaatst, hoefde ik niet lang na te denken.'
Het vakgebied lijkt me bij de steeds uitdijende technische mogelijkheden behoorlijk breed.
'Dat klopt. Elke keer als er weer een nieuwe uitspraak is, denk ik: dat kan natuurlijk ook. Je kan er eindeloos mee bezig zijn. Sommige rechtsgebieden zijn behoorlijk zwart-wit, iets kan of kan niet. Bij gegevensbescherming bestaat er een groot grijs gebied.'
Zoals?
'Neem de telecommunicatie. In het begin van de coronacrisis – ik werkte nog bij de Autoriteit Persoonsgegevens – kwam de vraag of het RIVM locatiegegevens van mobiele telefoons mocht hebben om reisbewegingen in beeld te brengen. Niet op individueel maar op groepsniveau. Dat zou tot voortijdige waarschuwingen over besmettingsrisico’s kunnen leiden. Mag dat? Of denk aan arbeidsrelaties. Wat mag een werkgever aan gegevens verwerken? Kun je als werknemer weigeren? Kan je in deze verhouding wel vrije toestemming geven? In de financiële dienstverlening bestaan zwarte lijsten van cliënten die banken onderling delen. Wat mag daar?'
Bij een leerstoel hoort onderzoek. Wat wordt daarbij het onderwerp?
'De verhouding tussen wat openbaarheid is en hoort te zijn, en het recht op privacy. Zoals de vraag: wanneer zijn gegevens persoonsgegevens en wanneer zijn ze geanonimiseerd? Je zou denken: dat is een makkelijke discussie. Maar het is heel ingewikkeld. Daar kun je eindeloos over doorpraten.'
Er is ook veel gediscussieerd over de openbaarheid van gegevens bij de Kamer van Koophandel
'Dat is een mooi voorbeeld inderdaad. Die openbaarheid dient de rechtszekerheid in het handelsverkeer. Alleen stamt die uit 1900. Destijds moest je bij wijze van spreken nog met paard en wagen langs allerlei kantoren in Nederland om gegevens bij elkaar te krijgen. Dat lukt nu in een paar minuten vanachter een beeldscherm. Overal zwerven datasets. Daar kun je een mooi profiel mee gaan vormen van iemand. Dat kan voor een journalist heel wenselijk zijn. Maar moet een willekeurig individu dat ook kunnen, alleen vanuit nieuwsgierigheid? Daar heb ik mijn twijfels over.'
Kan het recht het tempo van de technologische ontwikkelingen wel bijhouden?
'Veel regelgeving is nu al zo ontworpen dat die kan meebewegen. Als je zaken té technologie-specifiek vastlegt, zijn normen bijna al verouderd op het moment dat ze gaan gelden. Maar het moet niet te technologie-neutraal zijn, want dan weet je niet meer wanneer het er wel of niet onder valt. Het moet wel specifiek genoeg zijn. Dat is een ingewikkelde balans.'
'Belangrijk is de rol van de European Data Protection Board (EDPB), een verzameling van alle toezichthouders in Europa. De AVG zit vol open normen en als je persoonsgegevens wilt verwerken dan zoek je naar duidelijkheid over wat die normen betekenen in een concreet geval. De EDPB geeft die houvast door bijvoorbeeld richtlijnen uit te vaardigen. En maakt de regels zo concreter zonder dat daarvoor een heel lange weg naar het Hof van Justitie hoeft te worden bewandeld.'
Techreuzen draaien miljardenomzetten, groter dan het bruto nationaal product van sommige landen. Is het recht wel bestand tegen de macht van deze enorme ondernemingen?
'Die bedrijven kunnen inderdaad de beste advocaten betalen. Ze lobbyen ook enorm, bijvoorbeeld bij de totstandkoming van de AVG. Net als het midden- en kleinbedrijf overigens. Maar zij beslissen uiteindelijk niet over de inhoud van de wetgeving en zijn ook gebonden aan de AVG als ze zaken willen doen in de Europese Unie. Dan is een boetebevoegdheid van vier procent van de wereldwijde omzet, in sommige gevallen voor slechts één onrechtmatige verwerking, een goede waarschuwing.'
Is Europa dus het meest geschikt om tegenwicht te bieden aan de grote bedrijven?
'Ik denk inderdaad dat je dit niet in je eentje als land kan doen. Door op Europees niveau een hoog beschermingsniveau van persoonsgegevens te vereisen trek je de regels, in beginsel, voor ieder land gelijk. Daardoor wordt het voor alle bedrijven gemakkelijker om binnen de EU zaken te doen, terwijl het er ook voor zorgt dat je alleen die Europese markt kan betreden als je je houdt aan die regels, of je ze nu streng vindt of niet. Dat laatste geldt ook voor grote bedrijven.'
Is de strijd niet bijna per definitie een ongelijke? Techreuzen hebben diepe zakken
'Je kan in je eentje misschien weinig uitrichten tegen een techreus met een heel team aan gespecialiseerde advocaten. Hoewel er gelukkig voldoende mensen zijn die het proberen en het ook zeker weleens lukt. Gemakkelijker is de krachten bundelen. Je ziet het nu bijvoorbeeld gebeuren met TikTok en de manier waarop de app gegevens van kinderen verzamelt. Tienduizenden ouders pakken zich samen. Een organisatie als de Consumentenbond doet ook mee. Dat soort collectieve acties zorgt wel voor macht tegenover de techreuzen. En dan begint het wel pijn te doen op een zeker moment. Ik denk dat de ontwikkeling van die collectieve acties een goede is. Dat je voor de naleving niet alleen afhankelijk bent van individuen die de drive hebben om zelf een zaak te starten of de nationale toezichthouders, die kampen met veel te weinig geld, mensen en tijd.'
Gaat iemand die zoveel bezig is met het gegevensbeschermingsrecht en privacy anders om met apparaten en het internet?
'Of ik last heb van beroepsdeformatie? Jazeker. Absoluut. Cookie-instellingen probeer ik altijd aan te passen. Behalve als ik haast heb of als het echt te veel gedoe is. Bij een nieuwe telefoon zet ik alle privacy-instellingen meteen op zijn hoogst. Automatiseren van je huis is prima, zolang je er maar niet van buitenaf bij kunt. Auto’s en apparaten wil ik het liefst zo dom mogelijk. Ook omdat ze vaak veel bestendiger zijn. Al die slimme auto’s en apparaten kunnen zonder de nieuwste update al dienst weigeren. Bij het uitkijken naar een school voor mijn kind zijn de vragen: Hoe houden jullie de leercurve van de kinderen bij? Doen jullie dat op papier? Of met zo’n digitaal volgsysteem?'
Dan na even aarzelen: 'Maar het is ook een relatief kleine moeite die loont. Even wat instellingen bekijken of navraag doen bij een organisatie hoe de zaken geregeld zijn en dan kijken of jij dat ook vindt.'
Over Anna Berlee
Prof. dr. Anna Berlee (1986) is hoogleraar Gegevensbescherming en Privacyrecht bij de faculteit Rechtswetenschappen van de Open Universiteit. Tot haar benoeming in 2021 werkte ze als senior adviseur wetgevingsadvisering en normuitleg bij de Autoriteit Persoonsgegevens. Sinds 2020 is zij ook fellow bij het Cambridge Centre for Property Law van de Cambridge University. Berlee promoveerde aan de Universiteit van Maastricht op het rechtsvergelijkende proefschrift over goederenrecht en gegevensbeschermingsrecht. Daarna werkte ze als docent en onderzoeker bij Tilburg University en vervolgens de Universiteit Utrecht.
Tekst: Paul van der Steen
Fotografie: Peter Strelitski