Kan de AVG ook als middel tegen oneerlijke concurentie worden ingezet?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: ik las in het FD dat concurrenten de AVG niet tegen elkaar in konden zetten. Maar het is toch oneerlijke concurrentie, dat de een met een goedkope Chinese app zonder enige AVG compliance de markt op mag?
Antwoord: Deze rechtszaak was aangespannen door Leading Care Technologies (LCT) en Lifewatcher uit Zoetermeer. Beide bedrijven leveren GPS-horloges aan ouderen, die daarmee direct contact kunnen houden met verzorgers. Alles netjes geregeld, zo te lezen: ze kopen in bij een Oostenrijks bedrijf en voor de verwerking van persoonsgegevens is een verwerkersovereenkomst gesloten met de leverancier.
De gedaagde was iets makkelijker: het door hem geleverde horloge en de app komen uit China. De app is gratis en kan gedownload worden uit de app-stores van Apple en Google, zonder enige check of toezicht vanuit de verkoper. Dat lijkt mij ook niet direct AVG-compliant, dus ik snap wel dat je je dan gefrustreerd voelt als concurrent die wél hard z’n best doet.
Het vonnis laat zien dat het gaat om de ‘relativiteit’, is het wel de bedoeling dat deze wet voor dit doel wordt ingezet. De AVG is een vertaling van het grondrecht van grip op je persoonsgegevens, en dat is per definitie iets persoonlijks waar gewone mensen wat aan hebben. De concurrent van een gebruiker van persoonsgegevens heeft weinig te maken met mijn grondrechten als betrokkene.
Het is natuurlijk erg jammer want juist private handhaving heeft bij dit soort wetgeving het meeste effect. Kijk naar reclamerecht en oneerlijke handelspraktijken: daar gaat het erg netjes mee in Nederland, omdat iedereen weet dat de concurrent in je nek springt als je ten onrechte zegt dat je goedkoper, sneller, beter of compatibeler bent.
Formeel is natuurlijk ook die wetgeving gericht op bescherming van consumenten, maar in de Europese Richtlijn over handelspraktijken staat vrij expliciet dat deze indirect legitieme ondernemingen beschermt tegen concurrenten die de regels in de richtlijn niet in acht nemen. Een dergelijke opmerking ontbreekt in de AVG, dus dat argument gaat hier niet op.
Dat had bij de AVG ook best kunnen werken: wie persoonsgegevens oneerlijk verwerkt, zet zichzelf op een oneerlijke voorsprong en daar lijdt de concurrent schade door. En bedrijven zijn prima in staat om in te schatten waar een bedrijf de fout in gaat met een wet als de AVG. Maar daar zet de rechter nu dus een streep door. Gemiste kans.
Opvallend nog is wat de rechter zegt over de gratis app. Die zou oneerlijke concurrentie opleveren: een gooi-en-smijt app met mogelijk Chinese achterdeur versus een zorgvuldig ontwikkelde en pas na dpia uitgebrachte Europese app, dat gaat nergens over natuurlijk. Maar nee:
Op computers kan gratis software worden geïnstalleerd en ook met de mogelijkheid om via App Store of Google Play Store gratis apps te downloaden zijn gebruikers van smartphones en tablets al jaren bekend. Ook de eventueel daaraan verbonden voor- en nadelen mogen inmiddels bekend worden verondersteld. Eén van die gratis apps is de SeTracker app, die niet alleen op de door Avium geleverd GPS-horloges werkt maar door iedereen op een geschikt apparaat, zoals een smartwatch of smartphone, kan worden geïnstalleerd.
Dit voelt wel erg kort door de bocht: iedereen weet dat gratis apps de privacy kunnen schenden, dus het is niet oneerlijk als een bedrijf daarvoor kiest. Zolang ze maar eerlijk zijn dat je AVG-technisch kaalgesnuffeld wordt. Daar heb ik geen juridische argumenten meer tegen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Betekent wel dat er in de handhaving nog het nodige werk te verzetten is, maar om te vinden dat het dan toegestaan is lijkt me een vorm van minachting van de wet.
Niet alleen is er geen 1:1 koppeling tussen gratis software en privacy schending, maar ook is het nog altijd de klant zelf die de afweging maakt of het hem wel of niet boeit dat zijn gangen door het park op een Chinese server terecht komen en worden bestudeerd door de overheid aldaar. Het is niet aan een "betere" leverancier (die zichzelf in ieder geval beter vindt) om te bepalen dat je dat niet moet willen.
Ik denk dat ze maar moeten proberen om de voordelen van hun dure en uitgebreid ge-audite product in een markt niche aan te prijzen en daar producten te verkopen. Net zoals de een een horloge van Rolex wil en de ander genoegen neem met een Timex, is er altijd wel een markt voor dure spullen die zogenaamd beter zijn. Andere mensen hebben er minder voor over en kiezen een ander soort product.
De AVG is bedoeld om de privacy van Europese inwoners te beschermen. Dat geldt ook voor bedrijven van buiten de EU. Niet voldoen aan de AVG is dus een overtreding en kan bij de Autoriteit Persoonsgegevens gemeld worden.
In hoeverre dat afgedwongen kan worden is natuurlijk een ander verhaal
De AVG is bedoeld om de privacy van Europese inwoners te beschermen. Dat geldt ook voor bedrijven van buiten de EU. Niet voldoen aan de AVG is dus een overtreding en kan bij de Autoriteit Persoonsgegevens gemeld worden.
In hoeverre dat afgedwongen kan worden is natuurlijk een ander verhaal
Ik sluit me hier deels bij aan. Artikel 3 Lid 2 AVG zegt vrij vertaald dat de AVG ook voor bedrijven die niet in de EU zijn geldt indien deze gegevens verwerkt van mensen die wel in de EU zijn, mits twee voorwaarden waaronder dat het bedrijf goederen en/of diensten aan deze gebruikers aanbiedt, inclusief gratis goederen/diensten. Als je dan verder graaft in de overwegingen die veel van de tekst en uitleg geven, kom je in overweging 23 en zie je dat dit vrij ver gaat, als je het zelfs al mogelijk maakt de goederen of diensten af te nemen in een van de in de EU gangbare talen en/of valutas, of zelfs maar klanten of gebruikers in de EU noemt, hang je al.
Maar kan een bedrijf daar een klacht over indienen of een rechtszaak starten? De AVG meldt expliciet dat een betrokkene een klacht kan indienen en/of een rechtszaak starten als diens eigen gegevens verwerkt worden en een geschil over een eventuele overtreding ontstaat. Maar ik kan me niet herinneren ooit een bepaling te hebben gezien dat een bedrijf een klacht kan indienen of een rechtszaak aanspannen wegens oneerlijke concurrentie die zou kunnen ontstaan. Misschien wel een gemis.
En inderdaad, dan nog. Stel dat de verantwoordelijke toezichthoudende autoriteit (de AP of een van de andere landen) een boete of andere maatregel instelt. Ik denk dat het voor een of ander Chinees bedrijfje wel even duurt voor ze die betalen en ook wel even duurt voordat Beijing meewerkt om de boete te innen. En de grote vraag is: Wat dan...?
(dat zou zelfs kunnen zijn: wij gebruiken alle gegevens die we van je kunnen krijgen, zoals email adres, locatie, etc. om er zelf winst mee te maken door deze zelf te gebruiken of te verkopen. Maar ja, dat schrikt af, dus komt er een slap aftreksel als "wij verzamelen data om je de beste gebruikers ervaring te geven" Haha, ik bepaal zelf wel of de gebruikerservaring goed is!)
Dus terug komend op consent: de AP kan de aanbieders van alle Apps (of andere diensten) beboeten als hun "consent" hier niet aan voldoet.
Waarom gebeurt dat dan niet?
Daarna kan de persoon naar de AP, of als persoon (opnieuw) naar de rechter.
Om hierop terug te komen:
Dus terug komend op consent: de AP kan de aanbieders van alle Apps (of andere diensten) beboeten als hun "consent" hier niet aan voldoet.
Waarom gebeurt dat dan niet?
Dan moeten mensen zich wel bij de AP melden, en bij voorkeur eerst gepoogd hebben om het bedrijf zelf aan te spreken op het ontbreken van de juiste manier van toestemming vragen...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.