Max Schrems: toezichthouders moeten AVG strenger handhaven
Europese privacytoezichthouders moeten de AVG strenger handhaven, want het schenden van de Europese privacywetgeving heeft in de praktijk vaak weinig tot geen gevolgen, zo stelt de bekende privacyactivist Max Schrems. Wie verkeerd parkeert of een snelheidsovertreding begaat krijgt vaak meteen een boete. Er is geen e-mail of uitleg dat je niet de snelheid moet overtreden, aldus Schrems in een interview ter gelegenheid van het 20-jarig bestaan van de Europese privacytoezichthouder EDPS.
"Maar als je een bigtechbedrijf, of zelfs een gemiddeld bedrijf bent, dan heeft het zeer weinig gevolgen als de wet wordt geschonden", stelt Schrems. Hij voegt toe dat deze cultuur van het niet naleven nu ook op juridische conferenties zichtbaar wordt. Zo stellen advocaten op het podium dat er niets zal gebeuren als de AVG wordt overtreden, laat de privacyactivist weten.
Volgens Schrems weten alle organisaties en bedrijven inmiddels dat ze zich aan de AVG zouden moeten houden. De wet zou dan ook streng moeten worden gehandhaafd, maar in de praktijk blijken veel toezichthouders zich nog altijd veel op voorlichting te richten. Bedrijven die de fout in gaan krijgen niet meteen een boete, maar eerst een waarschuwing om de overtreding te stoppen.
Daarnaast zijn er meerdere toezichthouders die hun beslissingen niet publiceren. Daardoor weet het publiek niet welke bedrijven de AVG hebben overtreden en gaat er ook geen afschrikwekkende werking uit van boete of berispingen. Een ander punt dat Schrems noemt zijn de boetebedragen. "We weten dat met name Sillicon Valley denkt dat als je slechts één of twee procent per jaar als 'privacybelasting' betaalt, je gewoon kunt doorgaan." Als een AVG-overtreding echt gevolgen zou hebben, zou de manier van denken mogelijk ook veranderen, aldus Schrems, die oproept duidelijke en strenge handhaving.
De autoriteiten in alle landen lijken hun pijlen voornamelijk op Meta te richten (want afhankelijk van Google docs en 365?).
Wanneer komen er eens audits bij organisaties om te zien of ze de dsar en registraties (artikel 30 en 32) op orde hebben?
Toch denk ik dat hij deze uitspraak, "It's the economy, stupid", vergeet...
We zouden het ook niet accepteren als we bedrijven die zich consistent en grootschalig niet houden aan wetgeving op het gebied van veiligheid of administratie weg zouden laten komen met een waarschuwing.
Stel je voor dat het heersend idee bij bedrijven was dat "je best chemisch afval kan verwerken in kinderspeelgoed, want je krijgt toch alleen maar een waarschuwing". Die wet is de wet, en we moeten duidelijk maken dat het ons ernst is. Een bedrijf als Meta bijvoorbeeld maakt een nettowinst van een miljard per maand; zo'n bedrijf zou gewoon eens per overtreding een boete moeten krijgen van 3 miljard of zo, en dat dan elke keer weer, eventueel elke week of elke maand zo'n boete net zolang tot het ze duidelijk is dat we wetten hebben waar ze zich aan dienen te houden.
@Anoniem om 14:54 uur: Ik denk niet dat Schrems "It's the economy, stupid" vergeet. Structurele privacy-aantasting is ook roofbouw op het vertrouwen in de rechtsstaat en in elkaar, en daarmee roofbouw op de economie. Het kan alleen even duren voordat de economische voordelen van een "high-trust, high-trustworthiness" samenleving zichtbaar worden. Vooral als er in het socio-medische experiment met de afbraak van privacy en de rechtsstaat geen echte controlegroep meer is.
MJ
Toch denk ik dat hij deze uitspraak, "It's the economy, stupid", vergeet...
Ik denk niet dat Schrems dit vergeet, ik denk dat hij juist heel goed doorheeft hoe het werkt.
Ik weet de naam van het boekje en van de hoogleraar niet meer, ik herinner me wel nog dat de hoogleraar een Vlaming was.
Daarmee wordt het ineens een groot risico om een uitgebreide dataset over 10 miljoen personen te hebben. Al zou het gaan om euro's per persoon, de getallen worden erg snel erg groot, en dat is een risico wat een gemiddeld bedrijf zal willen afdekken en investeringen voor wil doen. Een andere mogelijkheid is data minimalisatie, data die het bedrijf niets meer oplevert ook daadwerkelijk verwijderen, immers het hebben van de data is een risico, data die je niet hebt vormt geen risico meer.
dit is waarom veel burgers hebben, 'ik doe niet meer mee'... vroeger had je blauw bloed, nu is het amerikaanse multinational..
die vooral met FUD bezig zijn om de rest van de wereld de boeman toe te spelen..
Ja, heel goed idee! Want als we niet vergeten "It's the economy, stupid", dan vergeten we ook niet: "Money talks!".
Maar uiteraard zou dit andere handhaving niet in de weg mogen staan, dus niet als excuus moeten gaan dienen om privacy-aantastingen te kunnen gaan "afkopen".
M.J.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
