Met twee torenhoge boetes opgelegd aan respectievelijk Uber (290 miljoen euro) en Clearview (30 miljoen euro) heeft de Autoriteit Persoonsgegevens (AP) deze zomer haar tanden laten zien. Daarmee komt de toezichthouder tegemoet aan kritiek vanuit de burgerrechtenbeweging dat de AP de afgelopen jaren weinig zichtbaar was.
‘Grote internationale bedrijven konden gemakkelijk wegkomen met privacyschendingen,’ vindt Nadia Benaissa, beleidsadviseur bij Bits of Freedom. Ze hoopt dat van de opgelegde sancties een afschrikkende werking uitgaat. Anders blijft de AP een papieren tijger die onmachtig is tegen grote techbedrijven en tekortschiet in de handhaving.
Vooral Clearview, dat overal ter wereld illegaal data bijeen raapt voor gezichtsherkenning, valt moeilijk aan te pakken. Dit komt doordat het Amerikaanse bedrijf geen vestiging in de EU heeft. Clearview lijkt gewoon door te gaan met het grootscheeps schrapen van portretfoto’s van internet. Vervolgens zet het bedrijf dat materiaal om in een unieke biometrische code per gezicht. En dat gebeurt zonder toestemming. Het verzamelen en het gebruik hiervan is verboden. Er zijn enkele wettelijke uitzonderingen, maar Clearview kan zich daar niet op beroepen. Clearview weigert AVG na te leven. Het bedrijf heeft geen bezwaar gemaakt tegen het AP-besluit en kan dus ook niet in beroep tegen de boete.
In diverse landen hebben privacy-waakhonden geprobeerd om Clearview aan te pakken, echter zonder succes. Nadia Benaissa juicht dan ook toe dat de AP de mogelijkheid bekijkt om Clearview-topman Hoan Ton-That en zijn medebestuurders eventueel persoonlijk aansprakelijk te stellen. Die vervolgstap wordt overwogen als de boetes oninbaar blijken. In Frankrijk en Griekenland lukte het de toezichthouders namelijk niet om Clearview tot betaling te bewegen.
Bestuurders aansprakelijk stellen
AP-voorzitter Aleid Wolfsen: ‘We gaan nu onderzoeken of we de leiding van het bedrijf persoonlijk aansprakelijk kunnen stellen en kunnen beboeten voor het geven van leiding aan die overtredingen. Die aansprakelijkheid is er ook al, als bestuurders weten dat de AVG wordt overtreden, bevoegd zijn om dat te stoppen maar dat nalaten en zo die overtredingen bewust accepteren.’
De AP bekijkt of op basis van het strafrecht bestuurders voor overtredingen in het bestuursrecht persoonlijk vallen te beboeten. Bij dit soort AVG-boetes is dit niet eerder gedaan. Probleem bij de inning is dat de AP niet even in Amerika een deurwaarder kan langs sturen of via het centraal justitieel incassobureau boetes kan innen. Verder wordt onderzocht of een aanhoudingsbevel mogelijk is als betrokken bestuurders de EU betreden. Mocht het juridisch niet mogelijk zijn om de bestuurders persoonlijk aansprakelijk te stellen en geen enkel rechtsmiddel werkt, dan stuurt de AP aan op aanvullende wetgeving in Nederland en de EU. Nadia Benaissa zou dat een goede zet vinden.
Op zwart zetten
Technisch zijn er geen mogelijkheden om in Nederland een stokje te steken voor het gebruik van Clearview. Volgens een woordvoerder van de AP vallen de servers van het Amerikaanse bedrijf niet uit te schakelen, aangezien die zich allemaal buiten de EU bevinden. ‘Verder mist de AP de bevoegdheid om de website van Clearview via providers op zwart te zetten. Zo’n actie zou ook weinig uithalen want ook buiten de website zijn zoekacties te doen. In plaats van online toegang te hebben tot de database kan je ook gebruik maken van een Clearview-dienst om personen op basis van hun foto te identificeren.
Overigens is er geen zicht op het gebruik van Clearview in Nederland. De boete van 30 miljoen volgt na een klacht van Bits of Freedom in 2023. Een andere woordvoerster van Bits of Freedom zegt te vermoeden dat de politie de dienst nog steeds gebruikt. Maar harde bewijzen ontbreken. Ook over eventueel gebruik door Nederlandse inlichtingen- en veiligheidsdiensten tast zij in het duister.
Onderzoek van BuzzFeed uit februari 2020 bracht aan het licht dat vanuit de Nederlandse politie 51 tot 100 zoekopdrachten bij Clearview binnenkwamen. Ook in België hebben instanties zitten snuffelen, zo blijkt uit de logs. Daar is het systeem voor biometrische surveillance wel ingezet, evenals in vele andere landen. Personen werkzaam bij 2.228 wetshandhavers, andere instellingen en ook bedrijven hadden inzage, zo blijkt uit lijsten van BuzzFeed. De meeste klanten gebruikten de tool destijds op basis van een gratis proefabonnement dat meestal 30 dagen duurde.
Gebruik door Nederlandse politie?
Toenmalig minister Ferd Grapperhaus (Justitie en Veiligheid) sloot in 2021 nadat hij zich daarvoor had uitgelaten over scrapen niet uit dat een individuele politiemedewerker een keer de website van Clearview heeft bezocht en een aantal bevragingen heeft gedaan. Maar dat betekent niet dat het systeem operationeel is ingezet, aldus de bewindsman. ‘Er wordt geen gebruikgemaakt van deze technologie voor het politiewerk.’
Volgens Bits of Freedom heeft het AP-onderzoek geen nieuwe feiten opgeleverd. In Italië, Frankrijk, Griekenland en het Verenigd Koninkrijk zijn al twee jaar of langer geleden dergelijke onderzoeken gedaan. Maar Nadia Benaissa vindt het toch belangrijk dat nu ook onderzoek is gedaan speciaal gericht op Nederland. Met de boete is een duidelijk signaal gegeven dat deze overtredingen niet mogen doorgaan. Als dit overheidsinstellingen en bedrijven ervan kan weerhouden is al veel gewonnen, vindt Bits of Freedom. In Amerika heeft Clearview onder druk van burgerrechtenorganisaties ermee ingestemd om zijn omstreden software niet meer aan bedrijven in de VS te verkopen. Ook loopt daar een grote groepsvordering waarbij mensen als collectief Clearview voor de rechter hebben gedaagd.
De papieren tijger van boetes die opgelegd worden maar gewoon genegeerd is als een blaffende hond die niet bijt. En de ontkenning van Ferd Grapperhaus is net zo geloofwaardig als de belofte van Mark Rutte want het mag niet maar het kan wel geven onrechtmatige bevragingen te denken over het toezicht. Lang leve de logfiles want sinds het bonnetje van Teeven weten we al dat de overheid een governance probleem heeft met zeggen en doen. Illegale data scraping via sociale netwerken en artikel 10 camera’s zal de komende jaren dan ook nog wel stof doen opwaaien want de geest is nu eenmaal uit de fles. Typerend trouwens dat naam en rugnummer van amokmakers voor de Palestijnse zaak niet vervolgd worden en andere activisten wel.