Aristoteles bepleitte het 2.500 jaar geleden in zijn Ethica Nicomachea: ieder mens heeft recht op privacy. Niet toevallig refereerde deze filosoof aan privacy in een tijd waarin mensen in stedelijk verband met elkaar gingen samenleven.

Volgens historicus Harari hadden voordien onze prehistorische voorouders geen behoefte aan privacy omdat zij slechts in kleine groepen samenleefden: “De leden van een groep kenden elkaar van heel nabij en waren hun leven lang omringd door vrienden en familie. Eenzaamheid en privacy waren een zeldzaamheid.”

Hoe veranderde dat de afgelopen eeuw. Het beroemde Amerikaanse pleidooi voor een recht op privacy van de ‘Amerikaanse Godfathers van privacy’, Warren en Brandeis uit 1890, verschenen in Harvard Law Review, ving als volgt aan:

“That the individual shall have full protection in person and in property is a principal as old as the common law; but it has been found necessary from time to time to define anew the exact nature and extent of such protection.”

Hun zorgen werden ingegeven door de ontwikkeling van fotografie en de bijbehorende risico’s voor privacy.

Daarna is het hard gegaan. Daar waar aanvankelijk de Verenigde Staten het voortouw namen bij de ontwikkeling van het concept privacy, was het vervolgens Europa dat privacy daadwerkelijk op de kaart zette als mensenrecht.

Maar privacy alleen, door velen gezien als een recht om met rust te worden gelaten en een recht op een privéleven, bleek niet opgewassen tegen de opkomst van technologische ontwikkelingen en massale dataopslag. Zorgen over ‘surveillance capitalism’ namen toe.

Nieuwe tijden vroegen om nieuwe rechten. De EU heeft als eerste ter wereld in 2009 bij het Verdrag van Lissabon grondrechtelijke status gegeven aan een internationaal modern recht: het recht op bescherming van persoonsgegevens.

Dit heeft direct tot gevolg gehad dat het EU Hof van Justitie het recht op bescherming van persoonsgegevens zwaarder ging wegen in zijn uitspraken. Voorheen legde het Hof de nadruk op het realiseren van de interne markt en het daarbij vereiste vrije verkeer van data. Na Lissabon werd bescherming van persoonsgegevens gelijkwaardig meegewogen.

Bij het Verdrag van Lissabon werd tevens het startsein gegeven voor een nieuwe Europese verordening, specifiek gericht op bescherming van persoonsgegevens. De huidige GDPR is hier het resultaat van. Het meest kenmerkende verschil met de oude wetgeving is het hoge boeteregime dat in de GDPR is neergelegd. Boetes oplopend tot 10 of 20 miljoen euro, dan wel 2 tot 4 procent van de wereldwijde omzet, kunnen worden opgelegd.

Dit leidde bij de introductie van de GDPR tot veel commotie en onzekerheid. De afgelopen anderhalf jaar zijn toezichthouders binnen de EU druk bezig geweest onderzoeken in te stellen en een toenemend aantal boetes uit te delen.

Opvallend hierbij is dat handhaving voornamelijk van bovenaf plaatsvindt. Men ziet slechts mondjesmaat dat gedupeerde burgers zelf naar de rechter stappen en schadevergoeding vragen. De Nederlandse rechter werkt inmiddels met gefixeerde schadebedragen tot 500 euro per persoon. Dit lijken relatief lage bedragen. Men moet zich echter schrap zetten voor een nieuw fenomeen, dat van collectieve schadeclaims.

De Wet afwikkeling massaschade in collectieve actie (WAMCA) maakt het per 1 januari 2020 mogelijk dat belangenorganisaties namens gedupeerden schade vorderen, ook onder de GDPR. Dit maakt het veel laagdrempeliger om schadevergoeding te eisen wegens schending van bescherming van persoonsgegevens.

Ofschoon door velen toegejuicht, ook beducht: er zit geen cap op. Wanneer een massaclaim honderdduizenden of miljoenen personen betreft, komt de vermenigvuldiging met 500 euro per persoon in een geheel ander daglicht te staan. Dit kan een serieuze impact hebben op met name bedrijven die veel particulieren als klant hebben.

REAGEREN

Plaats je reactie
Je naam