vak & mens

door Marco de Vries

De Europese techwetgeving leidt tot spanning met de VS. Advocaten pleiten voor meer uitleg en begeleiding. Er is veel ruimte voor interpretatie. Dat maakt het lastiger risico’s in te schatten.

Mistral, de Franse AI chatbot, weet het zeker: de Europese Unie zwicht niet voor druk van de Verenigde Staten en zal sancties opleggen aan de techreuzen, ‘om een eerlijke en veilige digitale markt te bevorderen’. De Amerikaanse concurrent ChatGPT hallucineert een beetje en heeft het nog over een ‘toekomstige Trump administratie’ maar voorspelt ook dat Europa niet zal inbinden. ‘De EU ziet zichzelf als regelgever voor de digitale economie, in contrast met de VS en China. Politieke druk van buitenaf zal die houding alleen maar versterken.’

Techadvocaten en andere menselijke observators zijn minder stellig. Toen de Europese Commissie eind april een boete van € 700 miljoen oplegde aan Apple en Meta werd dat vrij algemeen geduid als een symbolisch tikje op de vingers om de lopende tarieven­onder­handelingen met de VS niet te verstoren. Diezelfde maand presenteerde de Commissie het AI Continent Action Plan, dat niet alleen een Europees netwerk van ‘AI-gigafabrieken’ met supercomputers belooft, waarin nog op te leiden AI-talent aan de slag mag met ‘high quality data’, maar ook een binnenkort operationele AI Act Service Desk die de nieuwe regelgeving duidelijker en simpeler moet gaan uitleggen.

‘Het lijkt er toch een beetje op dat de regels wat versoepeld gaan worden,’ zegt advocaat Nicole Wolters Ruckert, hoofd van de Data en Privacy afdeling van Allen & Overy Shearman Amsterdam, ‘en dat schept weer veel onduidelijkheid. Want dit is alleen nog een actieplan. Hoe gaat dat vertaald worden naar juridische instrumenten?’

Haar cliënten, vooral Nederlandse vestigingen van internationale (tech)bedrijven, maken zich zorgen over wat hen boven het hoofd hangt. Een hele reeks verordeningen en richtlijnen, waaronder de Digital Services Act, de Digital Markets Act en de Ai Act, is recentelijk deels of helemaal in werking getreden. ‘We weten nog niet hoe die Europese regelgeving gehandhaafd gaan worden. De Algemene Verordening Gegevens­bescherming (AVG) die sinds 2018 van toepassing is, heeft inmiddels tot vele handhavings- en rechtszaken geleid, maar kende een lange aanloopperiode. Er zijn signalen dat de nieuwe Europese regelgeving sneller zal worden gehandhaafd, waarbij het boeterisico vergelijkbaar is met de AVG, namelijk een percentage van de wereld­wijde jaaromzet. De onzekerheid is dus groot en wordt weer groter door een mogelijke koerswijziging in Brussel.’

Ook Nathalja Doing, Legal Director Data & Technology bij Baker & McKenzie Amsterdam, merkt dat veel cliënten bang zijn voor de hoge boetes. ‘Tot 2016, onder de oude privacywetgeving, konden sancties oplopen tot € 4.500. Dat raakt bedrijven niet. De huidige boetemaxima van de AVG en recentere techregelgeving zijn omzetgerelateerd. Dit nieuwe regime maakt wel indruk.’ Ze signaleert dat de Europese regels navolging krijgen van andere landen. Brazilië en Thailand hebben bijvoorbeeld hun privacywetten gemodelleerd op het Europese voorbeeld. Van kritiek op de regelgeving merkt ze niet veel. ‘Wel moet ik buitenlandse cliënten vaak uitleggen dat de EU-techregels soms zijn gebaseerd op algemene principes. Het is niet zwart-wit. Er is veel ruimte voor interpretatie. Dat maakt het lastiger om risico’s in te schatten.’ Ze benadrukt dat haar cliënten proberen ‘compliant’ te zijn. ‘Natuurlijk, bedrijven die dat niet nastreven, komen niet naar ons kantoor voor advies. Die accepteren wellicht het risico op sancties.’

Memorandum

Er is al jaren een lobby vanuit de grote techreuzen tegen de koers van de Europese Commissie. Die regelgeving vindt deels haar oorsprong in de eerste overwinning van Donald Trump in 2016. Samen met het Brexit-referendum in hetzelfde jaar wakkerde die verkiezing debatten aan over de rol van sociale media, fake news en microtargeting. Joe Biden besteedde als president weinig aandacht aan de wetgeving die tijdens zijn periode in Brussel werd opgetuigd. Maar nu Trump is herkozen, het pakket aan EU-wetgeving is geïmplementeerd en er meerdere onderzoeken lopen tegen grote spelers, waait er een kille wind uit Washington. Trump wijdde een ronkend memorandum aan de techboetes en sprak zelfs van ‘afpersing’. De techgiganten verdienen met hun ‘cutting edge American technology’ meer dan het BNP van de meeste EU-lidstaten, pochte hij. ‘Buitenlandse regeringen oefenen steeds meer extraterritoriale zeggenschap uit over Amerikaanse techbedrijven. Ze belemmeren daarmee het succes van die bedrijven en eigenen zich revenuen toe die zouden moeten bijdragen aan de welvaart van onze natie en niet die van hen.’

Zoals grootmachten vroeger hun geschillen uitvochten op volle zee, zo wordt er nu gevochten over wie de baas is over de datawolken: Amerika komt op voor de belangen van zijn aanbieders, Europa voor die van zijn afnemers. In het memorandum kondigde Trump aan de ‘oneerlijke boetes’ te vergelden met hoge importtarieven. De onder­handelingen daarover zijn al een tijdje gaande, maar Europa bezweert dat de techregels daarbij geen inzet zijn. ‘We staan honderd procent achter onze regels over de digitale wereld,’ zei de verantwoordelijke Eurocommissaris Henna Virkkunen tegen journalisten in Brussel. ‘We willen zeker stellen dat de digitale omgeving in de EU eerlijk, veilig en ook democratisch is.’

Maar wat is democratisch? De Amerikaanse vicepresident J.D. Vance legde een paar keer een verband tussen de EU-regelgeving en de NAVO. In de beruchte toespraak op de veilig­heidstop in München dit voorjaar bestempelde hij de EU-regels tegen nepnieuws als censuur. Hij vroeg zich af of het bondgenootschap nog wel staat voor gemeenschappelijke waarden zoals vrijheid van menings­uiting.

‘Ik denk dat onze regels goed in elkaar zitten,’ reageert Doing. ‘De toezicht­houders doen hun best om de principes te vertalen naar concrete handvatten.’ Zo heeft de Autoriteit Persoons­gegevens voorbeelden van cookiebanners op haar site staan, die bedrijven kunnen overnemen. En vanaf juli is de AI Act helpdesk bereikbaar. ‘Er is behoefte aan meer guidance. Het blijft een uitdaging om de wettelijke eisen concreet toe te passen. Hoe zorg je er nou voor dat je een internet­gebruiker goed informeert over wat er met zijn data gebeurt? De info moet duidelijk zijn, maar ook compleet. Je kunt er een boek mee vullen, maar dat gaat niemand lezen. Dus je moet een middenweg vinden en daar vragen bedrijven advies over. De wettekst lezen kunnen de cliënten zelf ook wel, maar een werkbare oplossing bedenken vergt denkkracht en expertise. Het is echt puzzelen, maar dat is voor juristen juist leuk.’

Een volgens toezicht­houders verkeerde of gemakzuchtige interpretatie van de regels kan flink worden afgestraft. Zo krijgt Meta nu een boete van € 200 miljoen omdat het gebruikers van Facebook en Instagram liet kiezen tussen een betaald abonnement zonder advertenties of de gratis versie met gepersonaliseerde reclame. ‘Meta kwam met dat betaalde abonnementsmodel om tegemoet te komen aan de EU-regels,’ zegt Wolters Ruckert. ‘De platforms kijken daar anders tegenaan dan de toezicht­houder. Die vond die binaire keuze niet voldoende en eiste een derde optie. Een die de consument een tussensmaak biedt tussen de gratis en betaalde diensten van Meta, waarbij minder persoons­gegevens worden gebruikt.’

Oligarchie

Zijn voor de industrie de Europese richtlijnen wat algemeen geformuleerd, voor de consument is het nog minder transparant. Die wordt continu bestookt met banners en pop-ups die om instemming vragen. Achter elk vinkje dat hij gehaast wegklikt, gaan contractuele voorwaarden schuil, pagina’s aan opties en kleine lettertjes. De onbenulligste apps eisen toegang tot alle geheimen van tablet of smartphone om daarmee geld te verdienen. Veel gebruikers ervaren de regeltjes als hinderlijk en de gepersonaliseerde reclames als onschuldig. Maar op metaniveau kan het verspreiden van nepnieuws en politieke propaganda leiden tot uitholling van de democratie en het vertrouwen in instituties als de wetenschap, de mainstream media of de rechterlijke macht. Ook daarop heeft de huidige Amerikaanse regering een fundamenteel andere visie dan de Europese Commissie.

‘Voor Trump hangt alles met elkaar samen,’ zegt advocaat Christiaan Alberdingk Thijm, partner bij bureau Brandeis. ‘De Verenigde Staten zijn een oligarchie geworden, waarin de grote platforms een alliantie hebben gesloten met de politieke macht.’ Die verstrengeling van politiek en business is niet nieuw. Zijn kantoor is vernoemd naar de Amerikaanse advocaat Louis D. Brandeis (1856-1941), die streed tegen het grootkapitaal, de kartels en politieke corruptie van zijn tijd. Als techadvocaat volgt Alberdingk Thijm de huidige ontwikkelingen met argusogen. ‘Trump wilde voorheen Big Tech ook reguleren, net als Zuckerberg. Inmiddels hebben ze een draai gemaakt. Het gaat allemaal om geld. Die grote techbedrijven moeten worden beteugeld en Amerika gaat dat niet meer doen. Dus ik hoop dat Europa zijn poot stijf houdt.’

Die strenge regels moeten wat Alberdingk Thijm betreft echter niet ten koste gaan van de aanwas van techbedrijven op eigen bodem. Hij verwijst naar het rapport van oud-politicus en bankier Mario Draghi over waarom Europa zo achterloopt met innovatie in de techsector. ‘Onze Richtlijn inzake Elektronische Handel uit 2000 is vergelijkbaar met de regelgeving in de VS uit die tijd. Toch moet je constateren dat de grote spelers daar zijn ontstaan. Wij hadden Skype en hebben nu nog Spotify en ASML. We zijn natuurlijk veel meer versnipperd met 27 lidstaten. Het is moeilijker om als klein bedrijf met iets nieuws door te breken. Met AI dreigen we opnieuw de boot te missen.’

Daarom pleit hij voor een aanpassing van de regelgeving om start-ups te ontzien. ‘De AVG stelt dezelfde eisen aan alle instellingen, maar de nieuwe wetten leggen grote platforms strengere regels op dan kleinere. Misschien zou die gradatie ook in de AVG moeten. En begeleiding is ook belangrijk. Je kunt reguleren door te handhaven, maar ook door uitleg te geven en eventueel te compenseren als dat opportuun is.’

De groeiende kloof met de Verenigde Staten vormt een extra motivatie voor Europese bedrijven en lidstaten om Europese alternatieven te creëren. Dat gaat van wapenfabrieken en satellieten tot cloud-opslag, cybersecurity, software en sociale media. Het AI Continent Actieplan wil die inhaalslag stimuleren, denkt Alberdingk Thijm. Simpeler regels zijn geen knieval naar de VS, denkt hij, eerder een poging om de eigen sector te versterken. ‘Europa moet zich niet in de voet schieten met de regelgeving. De grote industrie in de VS heeft een lange adem, terwijl je eigen start-ups niet concurrerend zijn met een te hoge regeldruk. We moeten weer productiever worden en dus moet je de innovatiekracht in de gaten houden. Het is lastig daar een evenwicht in te vinden. Dat vraagt precisie en een goede dialoog met de industrie.’

A&O-advocaat Wolters Ruckert is bang dat Amerikaanse bedrijven een deel van hun kunstmatige intelligentie niet of later in de EU zullen aanbieden. ‘Als je AI te veel reguleert dan gaan ze niet in de EU uitrollen of ontwikkelen, waardoor we nog verder achteropraken. Meta heeft dat al aangegeven. Voor een goed vestigingsklimaat zijn ook investeerders nodig. In de VS vinden start-ups makkelijker geld. Wij hebben dan wel dat Innovatiefonds, maar private investeerders zijn moeilijker te vinden.’

Cyberaanval

Doing houdt zich ondertussen bezig met weer nieuwe EU-regelgeving, de NIS2-richtlijn die in Nederland nog niet is ingevoerd. ‘Onder de nieuwe richtlijn valt een groter aantal sectoren binnen de scope van de cybersecurityregelgeving.’ Ook de aandacht daarvoor is met de geopolitieke spanningen toegenomen. Doing hoort regelmatig van cliënten die te maken hebben gehad met een cyberaanval. ‘De schade voor een bedrijf kan heel groot zijn. Je bent misschien een paar dagen of een week niet operationeel.’ Ze adviseert cliënten over het melden van incidenten bij de relevante toezicht­houders en andere instanties, zoals de politie. Verder adviseert ze ook kleinere bedrijven om het gevaar serieus te nemen en de risico’s preventief in kaart te brengen. ‘Zorg dat je weet welke systemen je gebruikt. Pak het contract met de leverancier er nog eens bij, want dat is misschien al tien jaar oud. Waar worden je data bewaard? Ben je voorbereid als er iets misgaat? Ook al ben je zelf geen target, jouw ICT-leverancier kan ook gehackt worden. Dus zorg voor een back-up.’

Op termijn verwacht Doing ook NIS2-handhaving en daarmee procedures. ‘Dat is ook goed voor de ontwikkeling van het recht. Met meer uitspraken ontstaat er duidelijkheid over wat er van de sector wordt verwacht. Dat is in ieders belang.’