Threa(d)(t)

Hoe gaat het met de EU Data Strategie?

Het besluit van Mega om Threads (voorlopig) niet in de Europese Unie uit te brengen heeft relatief weinig aandacht gekregen, terwijl de aanleiding daartoe die aandacht juist alleszins rechtvaardigt, namelijk: “the complexities with complying with some of the laws coming into effect next year”, aldus de baas van Instagram, Adam Mosseri.2 Mosseri doelt hiermee waarschijnlijk allereerst op de EU Digital Markets Act3 die strikte regels oplegt aan Meta en andere zogenaamde poortwachters.4 Het is daarnaast goed denkbaar dat ook de Digital Services Act5 van invloed is geweest op dit besluit en de in mei aangekondigde (en wederom) forse boete van de Ierse privacy toezichthouder die Meta heeft opgelegd gekregen vanwege internationale doorgifte in strijd met de AVG6 . Meest recent komt daar nog bij het besluit van de EDPB waarin de wijze waarop Meta behavioral advertising toepast onrechtmatig wordt geoordeeld.7  

De Uniewetgever maakt de laatste jaren overuren met het bedenken van vooral compliance wetgeving. Met de EU Data Strategie lijkt deze wetgeving een draai te moeten maken van het vooral beschermen van gegevens, zoals databanken (Databankenrichtlijn8 ) en persoonsgegevens (o.a. AVG9 ), naar een verfijnd samenspel van verplichtingen om gegevens al dan niet te mogen, moeten en/of kunnen delen. Dit alles in de woorden van de Europese Commissie met als overkoepelende doel “to make the EU a leader in a data-driven society”.10 De Uniewetgever doet in ieder geval zijn best om een wereldspeler te worden als het gaat om datawetgeving en beoogt met initiatieven als de Data Governance Act (DGA)11 en de aankomende Data Act (DA)12 op verschillende manieren het delen en hergebruik van data te faciliteren, waaronder het vergemakkelijken van de overstap tussen cloud- en edgediensten. Ook de verschillende Europese data spaces mogen in dit rijtje aan wetgevingsinitiatieven niet ontbreken, waaronder nu als eerste de European Health Data Space.13

Wat mij fascineert is de vraag of al deze nieuwe Uniewetgeving ook daadwerkelijk het hiervoor genoemde overkoepelende doel van de EU Data Strategie dichterbij gaat brengen, welk doel veel meer is dan alleen een hoog niveau van bescherming van deze data afdwingen. Vooralsnog lijkt de EU wetgeving namelijk vooral te zorgen voor uitgebreide compliance trajecten en juridische haarkloverij waarbij – ironisch genoeg – juist vooral de grote (niet Europese) techreuzen over (ruim) voldoende capaciteit en budgetten beschikken om hierin voorop te kunnen lopen. Meta heeft bijvoorbeeld aangegeven meer dan duizend personen te hebben aangetrokken voor de implementatie van de DSA.14 Tegelijkertijd spitst de publieke discussie zich vooral toe op de vraag of de techreuzen onder de indruk zijn van de regels vanuit de Europese Unie (lees: torenhoge boetes). Meta ogenschijnlijk dus wel, terwijl de Europese Commissie zich bij monde van EU commissaris Breton op dit punt grote zorgen lijkt te maken over wat tegenwoordig X heet van de eigenzinnige Elon Musk.15

Dat met al deze (nieuwe) wetgeving de dataeconomie in de Europese Unie daadwerkelijk wordt verbeterd en daarmee de positie van de Europese Unie tegenover de rest van de wereld is gediend, lijkt allerminst vanzelfsprekend. Is de AVG niet simpelweg te dominant geworden, omdat (niet kan worden uitgesloten dat) in grote datasets veelal persoonsgegevens zitten en in zowel in de DGA als DA uitdrukkelijk is bepaald dat die nieuwe verplichtingen tot datadelen geen afbreuk mogen doen aan de AVG?16 Staat het risico op forse boetes die inmiddels op grond van de AVG (kunnen) worden opgelegd door (in Nederland) de Autoriteit Persoonsgegevens wel in verhouding tot het sanctiesysteem onder de DA en DGA dat weliswaar doeltreffend, evenredig en afschrikkend zou moeten zijn, maar waarvan de verdere uitwerking nog dient te worden uitgekristalliseerd door de lidstaten?17 Is de nieuwe EU wetgeving sowieso niet (te) complex voor veel organisaties zoals de Raad van State signaleert18 of is het allemaal gewoon nog te pril voor conclusies, omdat ondanks dat de Data Governance Act op 23 september 2023 in werking is getreden, de registratie van de eerste databemiddelingsdiensten en data-altruïstische organisaties bijvoorbeeld nog op gang moet komen?

Vooralsnog is er geen Europese speler aangewezen als poortwachter, zie ik nog geen sterke eigen EU cloud leverancier opstaan die kan meedoen op het wereldtoneel en evenmin een Europese AI speler die zich daar positief kan onderscheiden. De EU Data Strategie heeft zich nog niet bewezen. Kan het tij nog worden gekeerd of verdwijnen we door onze eigen, complexe en veelal strikte, spelregels met zeer hoge sancties, gestaag steeds verder in de coulissen van het techtoneel? Niemand die het echt weet; ChatGPT gelukkig ook nog niet.