De Ierse Data Protection Commission (DPC) is binnen de EU verantwoordelijk voor alle privacy-zaken rond een reeks techgiganten die in het land hun Europese hoofdzetel hebben, waaronder Facebook. De commissie krijgt echter al langer kritiek om de trage manier waarop ze werkt en de soms erg lakse aanpak van inbreuken.

En daar komt nu dus ook een criminele aanklacht bij. De privacy-activisten van noyb hebben in Oostenrijk een corruptieklacht neergelegd voor wat de groep 'procedurele chantage' noemt. De Ierse DPC zou het noyb onmogelijk maken om documenten te publiceren van zijn klachten tegen Facebook.

Wat is er aan de hand?

Noyb is de privacy-groep rond de Oostenrijkse activist Max Schrems. U kent de groep misschien als de organisatie die eerder al gerechtelijke procedures startte tegen de gegevensverwerking van Facebook in verschillende landen, maar ook tegen Apple, Google, Netflix en anderen. De bekendste overwinning van Schrems is de schrapping, door het Europees Hof, van het dataverdrag tussen de EU en de VS, omdat het niet genoeg garanties biedt voor de bescherming van persoonsgegevens.

Die groep heeft nu in Oostenrijk klacht neergelegd tegen de Ierse regulator zelf, de DPC. Noyb heeft een reeks procedures lopen bij die DPC rond privacy-inbreuken van Facebook en andere bedrijven, en de nonprofit zegt dat de regulator hen probeert te dwingen tot een geheimhoudingsverklaring of NDA. Dat zou betekenen dat noyb geen proceduredocumenten mag publiceren over zijn aanklachten, inclusief eventuele opmerkingen van andere partijen in de zaak, zoals Facebook, noyb zelf en andere Europese privacycommissies, die ook in deze procedure gehoord worden.

Recht om gehoord te worden

Volgens noyb is dat voor een publieke procedure als deze illegaal. Als de organisatie de geheimhoudingsverklaring niet tekent, zegt de groep, dreigt de DPC ermee dat ze hen niet zal horen in de klacht die ze zelf hebben neergelegd. In zijn brief naar noyb schrijft de DPC dat de geheimhouding nodig is om vrije discussie mogelijk te maken in een geschillenprocedure die nog actief beslecht wordt. Het idee daarachter lijkt dat opmerkingen en argumenten in het geschil nog niet definitief zijn.

Max Schrems, van zijn kant, zegt in een mededeling dat de DPC weet dat het zijn legale plicht is om de argumenten van noyb te horen, maar dat het daar met de brief voorwaarden aan verbindt. 'Dit is gewoon een autoriteit die eist dat we de vrijheid van meningsuiting opgeven in ruil voor procedurele rechten', aldus Schrems.

Vrijwillige toestemming

De vraag van de DPC lijkt er specifiek te komen nadat noyb documenten publiceerde van een voorlopige beslissing in een van de vele zaken rond Facebook. Die draait rond de toestemming die gebruikers moeten geven om gepersonaliseerde advertenties te krijgen. Facebook zegt dat het met die gebruikers een contract aangaat om advertenties te sturen, waardoor de GDPR-regels niet gelden. Een contract waarover ze tot nu toe eigenlijk niet communiceerden.

Volgens Schrems gaat het echter om 'gedwongen toestemming'. Het contract dat Facebook voorstelt is 'advertenties toestaan of je account verwijderen', zegt hij, en dat gaat in tegen de regel dat toestemming vrijwillig gegeven moet worden onder de privacyrichtlijnen. Uit het kladje dat noyb op zijn site publiceerde, moet blijken dat DPC van plan is mee te gaan in dat argument van Facebook, en dat het een boete voorstelt van 32 miljoen euro als straf voor het niet transparant communiceren rond dat 'contract'. De DPC heeft alvast gevraagd die documenten weer van de noyb-website te halen.

Noyb is overigens niet de enige partij die van de DPC een NDA onder de neus kreeg. De Irish Council for Civil Liberties zou een gelijkaardig verzoek hebben gekregen in zijn klacht tegen de advertentietechnologie van Google. Een weigering om die te tekenen zou betekenen dat de aanklager geen documenten meer mag inzien.

Hoe illegaal is dat?

Volgens noyb heeft het niet de plicht, onder Oostenrijkse of Ierse wet, om documenten geheim te houden, en is die vraag alleen in het voordeel van Facebook. Bovendien gaat het bijzonder ver om één van de betrokken partijen niet langer inzage te geven in de procedure. Die zweem van partijdigheid is ook meteen waarom de klacht tegen corruptie wordt neergelegd.

Maar is de stap van de DPC echt zo illegaal als noyb zegt? Op zich is het niet gangbaar, toch zeker niet in België, zegt Heidi Waem, head of data protection practice bij advocatenkantoor DLA Piper Brussel: 'Bestuurlijke instanties zoals de Gegevensbeschermingsautoriteit hebben immers de plicht om betrokkenen te horen alvorens een maatregel te nemen en een NDA staat dit mogelijks in de weg.' Alleen in erg uitzonderlijke gevallen is het mogelijk. 'De vraag rijst dan natuurlijk of dergelijke werkwijze de relatief strenge toetsing van het Marktenhof (de beroepsrechter voor beslissingen van de Gegevensbeschermingsautoriteit) zal kunnen doorstaan.' De Belgische Gegevensbeschermingsautoriteit lijkt alvast geen NDA's gevraagd te hebben, al was het maar omdat die hoorplicht en onpartijdigheid vrij essentieel zijn voor het hele rechtsconcept. Noyb merkt ondertussen op dat de DPC vooralsnog geen rechterlijke basis heeft gegeven voor de vraag tot geheimhouding, en dat het nog geen argumenten lijkt te geven voor die toch wel uitzonderlijke procedure.

Wat betekent dit nu?

Een en ander is olie op het vuur voor het idee dat de DPC toch wel bijzonder voorzichtig is in het aanpakken van grote techgiganten die in Ierland hun hoofdkwartier zetten. De Ierse regulator heeft meerdere zaken in behandeling, waaronder die over de datatransfers tussen de EU en de VS, die al in 2013 werd neergelegd. Met de start van de GDPR in mei 2018 zijn er daar nog een hele waslijst aan zaken bijgekomen.

In die drie jaar sinds de start van de GDPR heeft de DPC echter nog maar één uitspraak gedaan tegen Facebooks moederbedrijf Meta. WhatsApp kreeg een boete voor het breken van transparantierichtlijnen. Daarbij wilde de DPC 50 miljoen euro vragen, een bedrag dat niet omzeggens veel is voor een (moeder)bedrijf dat 32 miljard dollar aan winst maakt op een jaar. Die boete werd uiteindelijk na tussenkomst van de andere EU-regulatoren verhoogd werd tot 225 miljoen euro.

Het is ondertussen niet duidelijk hoe lang het nog gaat duren voordat al die andere klachten verwerkt zijn. En die traagheid wordt op zich gezien als een vorm van tegenkanting door privacy-organisaties. Het is zand in de raders die vooral techbedrijven ten goede komt. Hoe langer de DPC namelijk over dossiers nadenkt, hoe langer zij gewoon op hun oude manier verder kunnen doen en data kunnen verzamelen.

De Ierse Data Protection Commission (DPC) is binnen de EU verantwoordelijk voor alle privacy-zaken rond een reeks techgiganten die in het land hun Europese hoofdzetel hebben, waaronder Facebook. De commissie krijgt echter al langer kritiek om de trage manier waarop ze werkt en de soms erg lakse aanpak van inbreuken.En daar komt nu dus ook een criminele aanklacht bij. De privacy-activisten van noyb hebben in Oostenrijk een corruptieklacht neergelegd voor wat de groep 'procedurele chantage' noemt. De Ierse DPC zou het noyb onmogelijk maken om documenten te publiceren van zijn klachten tegen Facebook. Noyb is de privacy-groep rond de Oostenrijkse activist Max Schrems. U kent de groep misschien als de organisatie die eerder al gerechtelijke procedures startte tegen de gegevensverwerking van Facebook in verschillende landen, maar ook tegen Apple, Google, Netflix en anderen. De bekendste overwinning van Schrems is de schrapping, door het Europees Hof, van het dataverdrag tussen de EU en de VS, omdat het niet genoeg garanties biedt voor de bescherming van persoonsgegevens. Die groep heeft nu in Oostenrijk klacht neergelegd tegen de Ierse regulator zelf, de DPC. Noyb heeft een reeks procedures lopen bij die DPC rond privacy-inbreuken van Facebook en andere bedrijven, en de nonprofit zegt dat de regulator hen probeert te dwingen tot een geheimhoudingsverklaring of NDA. Dat zou betekenen dat noyb geen proceduredocumenten mag publiceren over zijn aanklachten, inclusief eventuele opmerkingen van andere partijen in de zaak, zoals Facebook, noyb zelf en andere Europese privacycommissies, die ook in deze procedure gehoord worden. Volgens noyb is dat voor een publieke procedure als deze illegaal. Als de organisatie de geheimhoudingsverklaring niet tekent, zegt de groep, dreigt de DPC ermee dat ze hen niet zal horen in de klacht die ze zelf hebben neergelegd. In zijn brief naar noyb schrijft de DPC dat de geheimhouding nodig is om vrije discussie mogelijk te maken in een geschillenprocedure die nog actief beslecht wordt. Het idee daarachter lijkt dat opmerkingen en argumenten in het geschil nog niet definitief zijn. Max Schrems, van zijn kant, zegt in een mededeling dat de DPC weet dat het zijn legale plicht is om de argumenten van noyb te horen, maar dat het daar met de brief voorwaarden aan verbindt. 'Dit is gewoon een autoriteit die eist dat we de vrijheid van meningsuiting opgeven in ruil voor procedurele rechten', aldus Schrems. De vraag van de DPC lijkt er specifiek te komen nadat noyb documenten publiceerde van een voorlopige beslissing in een van de vele zaken rond Facebook. Die draait rond de toestemming die gebruikers moeten geven om gepersonaliseerde advertenties te krijgen. Facebook zegt dat het met die gebruikers een contract aangaat om advertenties te sturen, waardoor de GDPR-regels niet gelden. Een contract waarover ze tot nu toe eigenlijk niet communiceerden. Volgens Schrems gaat het echter om 'gedwongen toestemming'. Het contract dat Facebook voorstelt is 'advertenties toestaan of je account verwijderen', zegt hij, en dat gaat in tegen de regel dat toestemming vrijwillig gegeven moet worden onder de privacyrichtlijnen. Uit het kladje dat noyb op zijn site publiceerde, moet blijken dat DPC van plan is mee te gaan in dat argument van Facebook, en dat het een boete voorstelt van 32 miljoen euro als straf voor het niet transparant communiceren rond dat 'contract'. De DPC heeft alvast gevraagd die documenten weer van de noyb-website te halen.Noyb is overigens niet de enige partij die van de DPC een NDA onder de neus kreeg. De Irish Council for Civil Liberties zou een gelijkaardig verzoek hebben gekregen in zijn klacht tegen de advertentietechnologie van Google. Een weigering om die te tekenen zou betekenen dat de aanklager geen documenten meer mag inzien.Volgens noyb heeft het niet de plicht, onder Oostenrijkse of Ierse wet, om documenten geheim te houden, en is die vraag alleen in het voordeel van Facebook. Bovendien gaat het bijzonder ver om één van de betrokken partijen niet langer inzage te geven in de procedure. Die zweem van partijdigheid is ook meteen waarom de klacht tegen corruptie wordt neergelegd. Maar is de stap van de DPC echt zo illegaal als noyb zegt? Op zich is het niet gangbaar, toch zeker niet in België, zegt Heidi Waem, head of data protection practice bij advocatenkantoor DLA Piper Brussel: 'Bestuurlijke instanties zoals de Gegevensbeschermingsautoriteit hebben immers de plicht om betrokkenen te horen alvorens een maatregel te nemen en een NDA staat dit mogelijks in de weg.' Alleen in erg uitzonderlijke gevallen is het mogelijk. 'De vraag rijst dan natuurlijk of dergelijke werkwijze de relatief strenge toetsing van het Marktenhof (de beroepsrechter voor beslissingen van de Gegevensbeschermingsautoriteit) zal kunnen doorstaan.' De Belgische Gegevensbeschermingsautoriteit lijkt alvast geen NDA's gevraagd te hebben, al was het maar omdat die hoorplicht en onpartijdigheid vrij essentieel zijn voor het hele rechtsconcept. Noyb merkt ondertussen op dat de DPC vooralsnog geen rechterlijke basis heeft gegeven voor de vraag tot geheimhouding, en dat het nog geen argumenten lijkt te geven voor die toch wel uitzonderlijke procedure.Een en ander is olie op het vuur voor het idee dat de DPC toch wel bijzonder voorzichtig is in het aanpakken van grote techgiganten die in Ierland hun hoofdkwartier zetten. De Ierse regulator heeft meerdere zaken in behandeling, waaronder die over de datatransfers tussen de EU en de VS, die al in 2013 werd neergelegd. Met de start van de GDPR in mei 2018 zijn er daar nog een hele waslijst aan zaken bijgekomen.In die drie jaar sinds de start van de GDPR heeft de DPC echter nog maar één uitspraak gedaan tegen Facebooks moederbedrijf Meta. WhatsApp kreeg een boete voor het breken van transparantierichtlijnen. Daarbij wilde de DPC 50 miljoen euro vragen, een bedrag dat niet omzeggens veel is voor een (moeder)bedrijf dat 32 miljard dollar aan winst maakt op een jaar. Die boete werd uiteindelijk na tussenkomst van de andere EU-regulatoren verhoogd werd tot 225 miljoen euro. Het is ondertussen niet duidelijk hoe lang het nog gaat duren voordat al die andere klachten verwerkt zijn. En die traagheid wordt op zich gezien als een vorm van tegenkanting door privacy-organisaties. Het is zand in de raders die vooral techbedrijven ten goede komt. Hoe langer de DPC namelijk over dossiers nadenkt, hoe langer zij gewoon op hun oude manier verder kunnen doen en data kunnen verzamelen.