Nadat gegevens van ruim een half miljard Facebook-gebruikers online verschenen, is de Ierse privacytoezichthouder een onderzoek begonnen. De Algemene Verordening Gegevensbescherming (AVG) maakte Ierland in Europa de primaire toezichthouder voor privacykwesties bij vrijwel alle techgiganten. Na drie jaar staat vast dat dit model niet werkt, zeggen Nederlandse volksvertegenwoordigers in het Europees Parlement tegen NU.nl. Maar over hoe de situatie beter kan, verschillen de ideeën.

De gelekte gegevens zijn in 2019 van Facebook geplukt, gebundeld en werden in april gratis aangeboden. De getroffen mensen lopen risico doelwit van criminelen te worden nu onder meer hun namen en telefoonnummers op straat liggen.

Ruim 96 miljoen slachtoffers komen uit de Europese Unie, waar de AVG geldt. Nederland is met 5,4 miljoen personen hard geraakt: 31,4 procent van de bevolking. Binnen de EU is alleen Italië (59,1 procent van de inwoners) relatief zwaarder getroffen.

Toch is het niet Italië of Nederland, maar de Ierse privacytoezichthouder die een onderzoek start. "Onze Ierse collega's nemen het voortouw in dit onderzoek", laat de Autoriteit Persoonsgegevens (AP) weten op de vraag of het de belangen van de vijf miljoen Nederlanders gaat behartigen, "want Facebooks Europese hoofdkwartier is in Ierland gevestigd."

Dankzij die redenering heeft de Ierse toezichthouder de afgelopen drie jaar het ene na het andere grensoverschrijdende AVG-onderzoek op zijn bord gekregen. Want niet alleen Facebook (ook eigenaar van Instagram en WhatsApp), maar ook de Europese hoofdvestiging van bijvoorbeeld Apple, Google en Twitter staan in Ierland.

Dat schuurt omdat de Ierse toezichthouder, de Data Protection Commission (DPC), die werkdruk volgens critici niet aankan. Ook andere toezichthouders hebben moeite de AVG goed te handhaven. Zo roept de AP al maanden dat de organisatie meer personeel nodig heeft.

"Het is duidelijk dat er een probleem is", zegt Johnny Ryan van de Irish Council for Civil Liberties (ICCL), een organisatie die opkomt voor burgerlijke vrijheden. "De Ierse kwestie is zelfs nog belangrijker dan de Nederlandse, omdat zoveel grote techbedrijven in Dublin gevestigd zijn."

Aantal slachtoffers van Facebook-datalek in de EU

Europarlementariërs ontevreden over handhaving techgiganten

Op zich is het niet vreemd dat de Amerikaanse techgiganten in Europa één loket hebben voor AVG-kwesties, zegt Kim van Sparrentak, die namens GroenLinks in het Europees Parlement zit. "Zo werkt de Europese markt. Als je in één land zaken doet, doe je dat in de hele Europese Unie."

"Maar het is gek dat de Ierse toezichthouder daardoor moet controleren of álle grote techbedrijven zich aan de AVG houden. Die gaat het niet bolwerken."

Ook Europarlementariër Jeroen Lenaers (CDA) worstelt met de rol van de Ierse toezichthouder. "De AVG is een verbetering van de situatie hiervoor", zegt hij. "Maar het vereist wel capaciteit om te handhaven. En daar ontbreekt het aan, zeker bij Ierland. Kun je verwachten dat dat land ooit genoeg capaciteit heeft om alle grote techbedrijven te controleren?"

PvdA en D66 willen overkoepelende Europese toezichthouder

De PvdA en D66 pleiten in Brussel voor een overkoepelende Europese toezichthouder die grote grensoverschrijdende zaken op zich kan nemen, laten de twee partijen in gesprek met NU.nl weten.

De Europarlementariërs van het CDA en GroenLinks twijfelen nog of dat een goed idee is. Zij willen naar eigen zeggen vooral dat nationale toezichthouders meer capaciteit krijgen en beter onderling samenwerken.

In de Tweede Kamer stemde het CDA in februari echter nog tegen een voorstel om het budget van de Nederlandse privacytoezichthouder te verhogen. De partij wil de kwestie op een later moment bespreken.

Zo controleer je of jouw gegevens gelekt zijn:

  • Het Facebook-lek omvat vooral telefoonnummers. Je kunt je nummer invoeren op de site Have I Been Pwned om te controleren of je slachtoffer bent. Begin met +31 en gebruik daarna alleen de laatste negen cijfers (dus zonder de 0 van 06).
  • Wees alert als je 06-nummer gelekt is. Criminelen kunnen je benaderen of je telefoonnummer misbruiken voor fraude.

Minder prominente rol voor Ierse toezichthouder ligt op de loer

Dat Ierland als primaire toezichthouder wordt gezien, belemmert ook andere Europese toezichthouders die tegen techgiganten willen optreden. Zo wil de Belgische autoriteit in een andere zaak dat Facebook stopt met het op een "buitensporige" manier volgen van internetgebruikers.

Facebook wijst naar Ierland om onder de Belgische handhaving uit te komen. Het bedrijf zegt dat de Belgische autoriteit niet bevoegd is om een procedure te voeren. Alleen Ierland zou dat mogen doen.

De vraag of dat daadwerkelijk zo is, ligt nu bij het Europese Hof van Justitie, dat zich er naar verwachting in juni over uitspreekt. In januari schoof de advocaat-generaal Facebooks redenering al aan de kant. Zijn conclusie is niet bindend, maar het hof neemt die doorgaans wel over.

Mogelijk verandering in toekomstige handhaving

Als het Hof de conclusie van de advocaat-generaal daadwerkelijk onderschrijft, zet dat de toon voor toekomstige handhaving. Zowel de Ierse toezichthouder als andere Europese privacyautoriteiten kunnen dan niet meer zo makkelijk zeggen dat alleen de DPC kan optreden tegen techgiganten met hun Europese hoofdkantoor in Ierland.

"Ierland is de superhandhaver voor de EU geworden", zegt Ryan van burgerrechtenorganisatie ICCL over de Ierse nationale belangen. "Dat is een enorme rol voor een klein land. Maar als we vervolgens aan de lopende band omzeild worden, verliest Ierland zijn relevantie."

"In de EU zitten is ook een kwestie van geven en nemen. Elk land moet een bepaalde Europese verantwoordelijkheid op zich nemen. Als Ierland aantrekkelijk wil zijn voor Amerikaanse techgiganten, moet het niet alleen zorgen voor directe vluchten naar San Francisco, maar ook voor goede handhaving."