In een eerdere column hield ik een pleidooi voor een Digitale Rechtstaat. En met name maakte ik me zorgen over data privacy. Welnu ik word op mijn wenken bediend want Europa maakt een enorme slag op het gebied van bescherming van persoonsgegevens bij de recente invoer van de GDPR (in Nederland AVG), de General Data Protection Regulation. Als gevolg hiervan heeft vrijwel iedereen een lading emails ontvangen van bedrijven die aangegeven dat ze, voortaan, zorgvuldig omgaan met je persoonsgegevens, met aanwijzingen waar je het allemaal na kunt lezen en met de optie je eventueel uit systemen te laten verwijderen. Europa is uniek op dit punt. Geen land of werelddeel in de wereld heeft zo’n vergaande wetgeving ingevoerd of is zelfs maar van plan iets dergelijks te gaan doen.
Inmiddels hebben een aantal grote Amerikaanse Techgiganten, waaronder Facebook en Microsoft gezegd dat ze deze nieuwe wetten zullen eerbiedigen, dat ze hun systemen zullen aanpassen, en nog meer: ze zullen deze wetgeving wereldwijd gaan gebruiken en aanbevelen.
Zover dus alleen maar pluspunten lijkt het. Eindelijk loopt Europa eens een keer voor op een belangrijk wetgevingsgebied voor de digitale samenleving. Ik denk dat deze wetgeving, vast niet volmaakt en ongetwijfeld zullen er nog wel veranderingen op gaan komen, een stap voorwaarts is in het vormgeven van de Digitale Rechtstaat. Het fundamentele recht van personen om te weten waar hun persoonsdata zich bevindt, wat er mee gedaan wordt en de optie om bij misbruik jezelf uit systemen te laten verwijderen is een absolute noodzaak om het vertrouwen van de burger in digitale systemen te behouden en te vergroten. Zonder dat vertrouwen kan de digitale samenleving niet goed functioneren en zich verder ontwikkelen.
Kritiek is er echter ook en niet van de minste. Gary Shapiro, directeur van de Consumer Tech Association (CTA), de Amerikaanse techkoepel waarbij ruim 2200 bedrijven zoals Amazon, IBM, Facebook en Google zijn aangesloten is een van de belangrijkste lobbyisten voor de IT sector in de VS. Hij is van mening dat Europa helemaal doorgeslagen is met deze GDPR, dat met name startende IT bedrijven die het moeten hebben van het verwerken van persoonsdata in de weg zit en als gevolg daarvan innovatie belemmert. Hij geeft aan dat in een land als China helemaal geen privacy bestaat en derhalve IT bedrijven en de overheid kunnen doen wat ze willen met de persoons data van vele miljoenen burgers. Hij ziet de GDPR met name als een Europese maatregel om Amerikaanse Tech bedrijven te dwarsbomen. Schandalen als met het bedrijf Cambridge Analytica die persoonsgegevens uit Facebook heeft misbruikt ziet hij als incidenten, die weliswaar af te keuren zijn, maar die de industrie uiteindelijk zelf kan oplossen. In Amerika bestaat een gedragscode rond persoonsdata, die destijds door President Obama is goedgekeurd en daarmee is zijns inziens alles goed geregeld.
Natuurlijk heeft Gary Shapiro een punt. Regelgeving, iedere regelgeving, werkt voor bedrijven belemmerend en kostenverhogend. En een belangrijk ander punt is ook: als Europa streng is met zijn GDPR, de VS het af kan met een vrijwillige gedragscode en China helemaal niets doet op dit gebied, dan dreigt Europa zich opnieuw op achterstand te plaatsen met de GDPR. En Europa loopt al geweldig achter op de VS en Azië op het gebied van IT ontwikkelingen en het hebben van grote Tech bedrijven.
Schiet Europa zich hiermee dan niet in de eigen voet ? Dat is de hamvraag. De essentie van het verhaal is dat we toegroeien naar de hyperconnected digital society. Alles is straks met alles verbonden, of Wilders en Trump dat nu leuk vinden of niet. In die nieuwe digitale samenleving moet uiteindelijk een Digitale Rechtstaat komen. De data privacy van burgers is de Achilles hiel van een digitale samenleving. Als dat niet goed geregeld wordt bestaat er geen degelijk fundament onder een digitale samenleving. Daarmee kan niet gesold worden. De risico’s van cybercrime of malverserende bedrijven en overheden is gewoonweg te groot. Het is dus: of passende regelgeving, waar de nieuwe GDPR zeker bij hoort, of het risico op een steeds grotere digitale chaos.
Ik verschil daarom van mening met Gary Shapiro. Ja, de GDPR stelt hoge eisen aan bedrijven op het gebied van data privacy en zal zeker op korte termijn leiden tot meer kosten en vertragingen in bepaalde ontwikkelingen. Maar anderzijds kan de GDPR in tegenstelling met wat Shapiro beweert juist bijdragen aan innovatie. Immers als wereldwijd ingezien wordt dat privacy bescherming een kernprobleem is voor de toekomstige digitale samenleving, dan zullen, links of rechtsom, alle IT systemen daarop aangepast moeten gaan worden. Europa zou op langere termijn dus wel eens op dit punt voorop kunnen gaan lopen door als eerste grote regio zijn systemen aan te passen.
GDPR of Innovatie ?
