Techbedrijven van buiten de EU die hier miljoenenboetes opgelegd krijgen voor het schenden van privacyregels, kunnen die gewoon negeren. Nederlandse autoriteiten hebben beperkte maatregelen om betaling af te dwingen.
Techbedrijven van buiten de EU die hier miljoenenboetes opgelegd krijgen voor het schenden van privacyregels, kunnen die gewoon negeren. Nederlandse autoriteiten hebben beperkte maatregelen om betaling af te dwingen.
Dat zeggen Europese privacywaakhonden, waaronder de Autoriteit Persoonsgegevens (AP). De AP overweegt daarom nieuwe maatregelen, zoals bestuurders en klanten van deze bedrijven aanpakken.
De kwestie is in Nederland actueel omdat de AP momenteel onderzoek doet naar het Amerikaanse techbedrijf Clearview AI. Dit bedrijf kopieerde zonder toestemming foto's van sociale media om opsporingsdiensten te helpen bij het identificeren van onbekenden. Clearview AI kreeg hiervoor in Italië en Griekenland boetes opgelegd ter hoogte van 20 miljoen euro, maar betaalde die niet, zo laten de nationale privacywaakhonden daar desgevraagd weten. Ook in Frankrijk ging een boete onbetaald, zo blijkt uit online publicaties van de Franse privacywaakhond CNIL.
Gegevens Nederlanders nog steeds online
De AP strafte één keer eerder een Amerikaans techbedrijf zonder vestiging in de EU. In 2021 legde de toezichthouder Locatefamily.com een boete op van meer dan een half miljoen euro. Ook deze boete werd nooit betaald. De website heeft tot op de dag van vandaag de persoonsgegevens van 400.000 Nederlanders online staan.
Het probleem speelt niet bij grotere techbedrijven zoals Meta en TikTok. Die hebben namelijk allemaal vestigingen binnen de EU die financieel aansprakelijk kunnen worden gesteld. Maar als een bedrijf geen Europese vertegenwoordiger heeft staat de AP echter vrijwel met lege handen, zegt privacyadvocaat Thijmen van Hoorn van Dirkzwager legal & tax. 'Dan is zo'n boete bijna symbolisch', aldus Van Hoorn. 'Als ze het niet betalen, dan betalen ze het niet.'
Thijmen van Hoorn, privacyadvocaat
Volgens Van Hoorn is het 'redelijk uniek' dat buitenlandse bedrijven in Nederland geldende regels zo gemakkelijk kunnen negeren. Omdat privacyschendingen in een andere categorie (bestuursrecht, red.) vallen dan de meeste overtredingen, kan er geen rechtshulpverzoek gedaan worden aan het land waar een bedrijf gevestigd is, zoals in bijvoorbeeld het strafrecht gebruikelijk is.
'Een wet met een gat?'
Lotte Houwing van Bits of Freedom verzet zich al 'minstens' sinds 2021 tegen het gebruik van Clearview AI in Nederland. Alhoewel de Nederlandse politie tegenover BNR ontkent ooit gebruik te hebben gemaakt van de software, schreef de Amerikaanse website Buzzfeed in 2021 naar aanleiding van gelekte interne documenten van Clearview dat Nederlandse agenten tientallen zoekopdrachten uitvoerden met de tool. Dat de EU moeilijk een vuist lijkt te kunnen maken tegen het optreden van het bedrijf baart Houwing zorgen. 'Het kan toch niet zo zijn dat we wetgeving hebben gemaakt met zo'n gat erin?'
'Bestuurder aanspreken op boete zodra die hier landt'
De Autoriteit Persoonsgegevens stuurde in januari, kort voor de start van het onderzoek naar Clearview AI, een brief aan kabinet en Kamer waarin voorstellen werden gedaan om de wet aan te passen. Zo zou het strafbaar kunnen worden gesteld voor bedrijven die met Europese persoonsgegevens werken om geen vertegenwoordiger in de EU te hebben. 'Dan kan er bij de inning van boetes een beroep worden gedaan op de verdragen die internationale rechtshulp regelen', laat een woordvoerder van de AP in een email weten. De AP ziet ook graag dat internationale verdragen worden gesloten over het innen van bestuurlijke boetes, waaronder die voor privacyovertredingen.
De privacywaakhond kijkt echter ook binnen haar huidige wettelijk mandaat naar extra maatregelen. Zo overweegt de toezichthouder bestuurders en klanten van bedrijven die geen EU-vertegenwoordiger hebben aan te pakken. 'Dat betekent dat zodra de bestuurder van zo'n bedrijf in de EER landt, deze kan worden aangesproken op die boete', aldus de woordvoerder.