Door Dirk Volman
Bij de start van de onderhandelingen die leidden tot de General Data Protection Regulation, zei initator Viviane Reding: 'Deze hervorming is hard nodig en vanaf nu onomkeerbaar. Het zal het leven van bedrijven vergemakkelijken en de burger beter beschermen.'
Afgelopen jaar was het zover en werd GDPR ingevoerd. Maar sinds die invoering blijf ik me afvragen wat Vivane’s verwachtingen waren van de beruchte wet. Wat zou de voormalig Europees Commissaris zeggen nu ze haar wet toegepast ziet? Is dit wat ze bedoelde? Is dit wat ze wilde bereiken? Maakt het het leven makkelijker? Maakt het ons veiliger?
Als je het mij vraagt zou ze zich schamen. Of ze zou zich moeten schamen. Want nu de wet er eindelijk is worden een half miljard EU-burgers iedere dag gepest wanneer ze maar even een website bezoeken. En als je het zelf nog niet ervaren hebt, bekijk dan op twitter de GDPR hall of shame maar eens. Dat geeft je wel een beetje een idee.
In het kort interpreteren of misbruiken bedrijven GDPR op zo’n manier dat de bezoeker wordt misleid of simpelweg getreiterd tot het weggeven van al zijn gegevens en privacy. Want bij de zoveelste melding, op de zoveelste websiteis het genoeg. Op een gegeven moment klik je simpelweg op ‘accepteren’ om ervan af te zijn.
En het stomme is dat we dit al vaker hebben meegemaakt. Digitale wetgeving van de EU die met alle goede bedoelingen compleet z’n doel voorbij schiet in de uitvoering. Het beste voorbeeld was de voorganger van GDPR, de beruchte cookie-wet —gebaseerd op de databeschermingsrichtlijn 95/46/EG —die eerder dit decennium werd ingevoerd. En we zien precies dezelfde problemen rondom de nieuwe copyright wetgeving.
Al deze wetten beginnen met hele goede voornemens. Wij Europeanen moeten ons echt gelukkig prijzen met een overheid die zo sterk een vuist probeert te maken voor haar burgers als het gaat om data- en privacy-rechten. Kijk alleen al naar de VS waar de net-neutraliteit zonder blikken of blozen aan lobbyisten werd overgeleverd. We zouden echt dankbaar moeten zijn dat wetgevers als Viviane het zo voor ons opnemen. Maar als de intentie achter de wetten zo deugt, waarom falen diezelfde wetten dan zo verschrikkelijk in de praktijk?
Dat komt omdat wetgeving ontwerpen en digitaal ontwerpen in de basis twee heel verschillende dingen zijn. Wat ik daarmee bedoel? In de politiek zoek je naar compromissen. En voor de kiezers leidt het kunnen en willen vinden van een compromis tot een optimaal resultaat. (Ik hoef je toch niet te herinneren aan de idioot gepolariseerde politieke verhoudingen in de VS?) Bij digitale technologie is het een ander verhaal. Hier leidt het sluiten van compromissen tot inconsistente ontwerpeisen en daarmee tot een waardeloze gebruikerservaring. Voor de gebruiker leiden compromissen dus tot een belabberd resultaat.
Dus wat er fout lijkt te gaan bij het ontwerpen van digitale wetgeving in de EU is niet de intentie. De intentie is eigenlijk in alle gevallen de beste. Het gaat fout bij de vertaling van die intentie naar een wet, het opstellen van de reglementen, de ontwerpeisen dus eigenlijk. Hierdoor heeft de wetgeving niet de helderheid, ondubbelzinnigheid en consistentie die hij nodig heeft om bedrijven te helpen de juiste ervaring te creëren voor de gebruiker—de burgers van de EU. Kortom, goede bedoelingen gaan verloren omdat digitale wetgeving wel omschrijft waarom maar onvoldoende hoe bedrijven die moeten uitvoeren.
Leuk gevonden, maar hoe kunnen wetgevers als Viviane het dan beter doen? Zorg dat je de intentie en de ontwerpeisen van elkaar scheidt. Vind eerst samen compromis over de bedoeling van de de wet: wat wil je bereiken voor de burger? Pas als je dat duidelijk hebt begin je aan de eisen. Door prototypen te maken kun je kijken wat werkt en dat vertalen naar ontwerpeisen voor bedrijven: je wet.
Nu hoor ik je denken: en wie gaat die prototypen maken dan? Nou hier zouden we wel wat kunnen overnemen van onze Amerikaanse vrienden. In 2014 lanceerde president Obama de US Digital Service. Deze dienst helpt federale agentschappen met het vormgeven van hun digitale voorzieningen. Een Europese tweelingbroer zou onpartijdig ontwerpvoorstellen kunnen maken en testen op hun gebruiksvriendelijkheid en effectiviteit. Met deze informatie kunnen wetgevers leren wat wel en wat niet werkt en zo het wetsvoorstel aanpassen en aanvullen voor het wordt aangenomen.
Had de EU een dergelijk proces gevolgd dan had dat geleid tot een simpele, coherente en efficiënte
gebruikerservaring. Een ervaring die in ieder geval hetzelfde was op iedere website, sneller; misschien wel gecentraliseerd; of zelfs onzichtbaar, door wat simpele aanpassingen in de wet. GDPR zou op die manier de burgers van de EU, hun data en hun privacy echt hebben beschermd. Voor zo’n wet had Viviane zich niet hoeven schamen. Ze zou trots zijn. Trots op wat ze had bereikt voor een half
miljard van haar medeburgers.
Ik ben het met je eens dat er veel winst te behalen is met duidelijke instructies voor de toepassing van de wet, maar het is een bewuste keuze om dat niet in de wet op te nemen. Wetten worden 'technologieneutraal' opgesteld, zodat ze niet bij iedere technologische ontwikkeling achterhaald zijn. Het is aan de toezichthouders om duidelijk te maken hoe de wet volgens hen zou moeten worden geïnterpreteerd en toegepast. Helaas laat dat soort informatie lang op zich wachten, waardoor sommige dingen pas duidelijk worden als er gehandhaafd wordt.
De cookiebepaling komt overigens niet uit de voorloper van de AVG(95/46/EG), maar uit de e-Privacy Richtlijn (Richtlijn 2002/58/EG)