Niemand begrijpt de GDPR

Op 25 mei treedt de Algemene Verordening Gegevensbescherming in werking (beter bekend als GDPR: General Data Protection Regulation), de Europese wet die de burgers meer zeggenschap over hun gegevens en hun privacy moet geven. Volgens haar verdedigers zou ze een door de bedrijfswereld gecontroleerd internet door een digitale democratie kunnen vervangen.

Maar er is een klein probleem: niemand begrijpt de GDPR.

Het is een verbijsterend complexe wet. Toen het Europees Parlement na drie jaar intens lobbywerk en verbeten onderhandelingen een ontwerp klaar had, volgden een kleine vierduizend voorstellen voor amendementen. Dat bewijst hoeveel verschillende belangen hier op het spel staan: bedrijven, regeringen en academische instellingen verwerken allemaal persoonsgegevens en allemaal doen ze dat met verschillende bedoelingen.

Er is nog een reden voor de complexiteit en de dubbelzinnigheid van de verordening. Achter de juridische en technische problematiek gaan waarden schuil. De 28 lidstaten van de Europese Unie hebben uiteenlopende historische ervaringen en hedendaagse opvattingen over het verzamelen van gegevens. De Duitsers herinneren zich het dodelijk efficiënte gebruik van informatie door de nazi's en willen liever niet dat regeringen en ondernemingen hun persoonsgegevens opslaan. In de Scandinavische landen zien ze het anders, daar vinden ze het verzamelen en organiseren van gegevens essentieel voor de werking van hun sterke sociale systemen.

De verordening is dan ook opzettelijk dubbelzinnig gemaakt. Ze moet de beperkingen op gegevensstromen versoepelen, maar tegelijkertijd de burgers controle geven over hun persoonsgegevens. Ze moet de economische groei van Europa stimuleren zonder het recht op privacy in het gedrang te brengen. Om mogelijke verschillen tussen de huidige technologieën en die van de toekomst te omzeilen, wordt met brede principes gewerkt.

Maar die brede principes komen niet altijd overeen met de praktijk van de gegevensverwerking. Volgens de verordening moeten de verwerkers zich bijvoorbeeld tot specifieke doeleinden beperken en zijn andere toepassingen verboden. Dat klinkt mooi, maar 'machineleren' – denk aan kunstmatige intelligentie, gerichte reclame, zelfrijdende auto's, enzovoort – gebruikt gegevens om computersystemen beslissingen te laten nemen die niet vooraf kunnen worden gedefinieerd of achteraf uitgelegd.

In 2017, het jaar van de goedkeuring van de verordening, heb ik met wetenschappers, gegevensbeheerders, juristen, ethici en activisten gepraat. Ik ontdekte dat veel wetenschappers en gegevensbeheerders die de wet moeten gehoorzamen, ze onbegrijpelijk vinden. Aan de ene kant is de verordening te abstract (wat betekent een begrip als 'passende beveiliging'?), aan de andere kant vertrekt ze van technologische veronderstellingen die nu al voorbijgestreefd zijn en geen rekening houden met ontwikkelingen als big data en clouddiensten. Uiteindelijk zullen de Europese rechtbanken het allemaal moeten uitvlooien, en dat wordt ongetwijfeld een verwarrend proces van lange duur.

Toch is de GDPR geen verloren zaak. We hebben regels nodig. Maar een zuiver juridisch kader – zeker niet als het omslachtig, complex en dubbelzinnig is – kan niet het enige en zelfs niet het eerste instrument zijn om onze gegevens in de dagelijkse praktijk te beschermen.

Als het de bedoeling is om de manier waarop met onze gegevens wordt omgegaan te veranderen, dan hebben we meer onderzoek nodig over hoe persoonsgegevens worden verzameld, wie dat doet en hoe de beslissingen over hun bescherming worden genomen. Die wetenschap moet het uitgangspunt zijn voor de ontwikkeling van praktische regels met een empirische basis.

Pragmatische richtlijnen die begrijpelijk zijn voor de mensen die met gegevens werken zullen onze persoonsgegevens beter beschermen dan een verordening die beweert het internet te veranderen, maar waarvan niet kan worden uitgelegd hoe ze dat zal doen.

© New York Times