In het huidige tijdperk van digitalisering – met doorwerking op processen en businessmodellen in bedrijven tot en met de hele economie en maatschappij – is ook de overheid volop actief om zich om te vormen. Zo bevatte het regeerakkoord een ambitie tot verbetering van de digitale dienstverlening aan burgers en ondernemers. De ministeries van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en Economische Zaken en Klimaat (EZK) zijn daarbij verantwoordelijk voor de totstandkoming van de ‘digitale overheid’. Net als bij bedrijven vindt er, in organisaties die verantwoordelijk zijn voor beleid en toezicht, een digitale transformatie plaats.
De Europese Betaaldienstenrichtlijn PSD2, die de financiële markt flink kan gaan opschudden, illustreert de groeiende impact van data: rekeninghouders kunnen hun bankdata gaan delen met fintech startups, die daar nieuwe diensten mee kunnen ontwikkelen. Toegang tot data vormt zo een breekijzer om het bankenoligopolie los te wrikken, zij het binnen stevige restricties vanuit de nieuwe privacyregels (de Algemene Verordening Gegevensbescherming, ofwel AVG). Het is direct duidelijk dat de groei aan data een extra laag van complexiteit aanbrengt, met meerdere facetten voor het functioneren van de markt en de wenselijkheid van spelregels en toezicht.
Een belangrijk aspect van de digitalisering betreft de exponentiële toename aan data die bewust dan wel ‘en passant’ gegenereerd wordt. Niet alleen bedrijven, maar ook overheden verzamelen steeds meer data. Burgers en consumenten doen dat zelf ook, op eigen apparaten en via sociale media. Het ‘internet der dingen’ gaat de datagroei alleen maar verder versnellen, vanwege de grootschalige inzet van sensoren in de omgeving van alledag. Deze ontwikkeling confronteert beleidsmakers en toezichthouders met nieuwe vraagstukken: Wat betekent de toename van data in de economie en maatschappij voor de borging van publieke belangen? Hoe kan de overheid zelf effectiever opereren door data te verzamelen en te gebruiken? Is er meer bescherming van burgers en consumenten nodig? Volstaan de huidige kaders voor toezicht? Wat is de impact op toezichtrelaties en de institutionele vormgeving van toezicht?
Gegeven dat de ontwikkelingen rondom digitalisering en data doorgaan, zullen nieuwe puzzels zich blijven aandienen. De moeilijke voorstelbaarheid daarvan maakt dat we niet goed kunnen anticiperen op de maatschappelijke impact van digitalisering. We moeten daarom rekening houden met onvoorziene gevolgen van nieuwe technologie en gebruiksmogelijkheden van big data. Derhalve zijn burgers en consumenten in het digitale domein niet meer goed in staat om effectief afspraken te maken over datagebruik, vooral wanneer dat potentiële (veelal nog onbekende) toepassingen betreft. Ook beleidsmakers en regelgevers kunnen dat niet voorzien. De publieke belangen van privacy zijn daarom niet goed ‘contracteerbaar’, ofwel, wet- en regelgeving hebben slechts gedeeltelijk grip op het veiligstellen van deze belangen. We hebben dan wel sinds kort nieuwe privacyregels, maar toch moet nog maar blijken of deze kunnen afdwingen dat we vertrouwen blijven houden in de verzameling en het gebruik van gegevens door bedrijven. Omdat inbreuken op de privacy, en ook de schade die daaruit voortvloeit, voor consumenten vaak amper waarneembaar zijn, is het lastig om een passende compensatie voor geleden schade bij ongeoorloofde toepassingen te bepalen (waar de AVG in voorziet).
Dit themadubbelnummer gaat over de impact van ‘big data’ – datasets die zo groot zijn dat reguliere systemen voor databasemanagement deze niet kunnen hanteren – op toezicht. Daarbij kijken we zowel naar enkele nieuwe vraagstukken waar toezichthouders deze dagen mee geconfronteerd worden, als naar mogelijkheden om data in te zetten in de toezichtpraktijk en deze te implementeren. Voor de volledigheid: dit nummer hanteert geen strikte (technische) definitie van big data, maar kijkt in den brede naar de impact van de toename van verzameling en gebruik van data.
De eerste bijdrage is een essay van Cátia Silva Santos en Ady van Nieuwenhuizen (Fieldfisher). Dit stuk vormt een passende inleiding op het thema van big data en toezicht. De auteurs bespreken de toenemende interactie en overlap tussen beleidsterreinen en toezichtvelden, wat kan leiden tot coördinatieproblemen. De huidige wettelijke kaders lijken niet te volstaan om een en ander in goede banen te leiden. De vraag is dan ook wie, in situaties waarin meerdere toezichthouders ‘ergens iets van moeten vinden’, knopen dient door te hakken. Samenwerkingsprotocollen vormen een stap in de goede richting, maar een aanpassing van wettelijke kaders zal nodig zijn, bijvoorbeeld vanwege de rechtszekerheid bij marktpartijen die aan de slag willen met big data, aldus de auteurs.
Inge Graef (Tilburg University) vervolgt met een peer-reviewed artikel over de noodzaak tot meer samenhang tussen mededingings- en gegevensbeschermingstoezicht in markten waarin data een drijvende kracht vormen. Ze motiveert haar artikel met de nasleep van de overname van WhatsApp door Facebook. De goedkeuring van deze overname roept fundamentele vragen op over de effectiviteit van het toezicht op digitale markten, dan wel over het beoordelingsvermogen van de betrokken mededingingsautoriteiten. Graef bespreekt vanuit het mededingingsperspectief in hoeverre gegevensbescherming een rol kan spelen in mededingingsbeleidzaken, en dat het gebruik van beginselen uit het mededingingsrecht ten goede kan komen aan gegevensbescherming. We ontkomen echter niet aan een beleidsdilemma. De oorzaak ligt in de noodzaak tot een zoektocht naar een evenwicht tussen data-gedreven innovatie door marktpartijen en gegevensbescherming op basis van principes als gegevensminimalisering en doelbeperking. Er zullen altijd conflicten bestaan tussen de handhaving van het mededingings- en gegevensbeschermingsrecht.
De volgende vier bijdragen komen ‘uit het veld’. De eerste twee hebben betrekking op mededingingstoezicht. Robert Stil, Douwe Meindertsma en Inge van der Linden (allen ACM) bespreken de beoordeling van ‘datamacht’ in mededingingsbeleid: kunnen de verzameling en het gebruik van data leiden tot marktmacht? Ofwel, hebben Facebook en Google vanwege de bergen data die zij verzamelen een machtspositie ten opzichte van concurrenten en toetreders? De auteurs bespreken de factoren die bijdragen aan dat risico. Hun bevinding is dat mededingingstoezicht over instrumenten beschikt die het ontstaan van datamacht door concentraties kunnen voorkomen, en geschikt zijn om op te treden tegen misbruik van datamacht. Hun inschatting is dat dergelijke situaties nog weinig zijn voorgekomen in de praktijk. Overigens bekijken enkele andere bijdragen in dit nummer het mededingingstoezicht vanuit een ruimer kader, van waaruit men zeker vragen kan stellen over een insteek vanuit het mededingingsrecht (en het huidige instrumentarium).
Jan Sviták (ACM) en Erik Brouwer (economisch adviseur big data science bij SEO en hoogleraar mededinging en innovatie) behandelen het gebruik van big data-technieken in het mededingingstoezicht. Denk daarbij aan toepassingen van ‘machine learning’ in voorspellingsmodellen en verkennende data-analyses, die nuttig zijn om nieuwe inzichten te verkrijgen, of bepaalde gedragingen door marktpartijen kunnen signaleren. Zij bespreken een door hen ontwikkeld algoritme voor de detectie van veranderingen in prijzen, waarmee kartels opgespoord kunnen worden. Zij laten concreet zien hoe big data de effectiviteit van toezicht kunnen versterken.
De derde bijdrage ‘uit het veld’ betreft DNB en is afkomstig van Wouter van Aerle (Deltiq), Ronald Damhof (voorheen DNB) en Frank Ouddeken (DNB). Deze gaat over een datavoorzieningsfunctie in toezicht dat gebaseerd is op het gebruik van data. Zij bespreken ervaringen bij De Nederlandsche Bank (DNB), gespiegeld met ervaringen bij andere toezichthouders, en zetten uiteen waarom en welke specifieke ondersteuning binnen de organisatie vereist is. Zij beschrijven de kaders waarbinnen een toezichthouder de gegevensverwerking dient in te richten, en gebruiken het ‘kwadrantenmodel’ voor een analytisch raamwerk dat de datavoorzieningsfunctie concretiseert. DNB illustreert dat. Het stuk maakt inzichtelijk hoe een toezichthouder, vanuit het perspectief van de interne organisatie, aan de slag kan met de inbedding van het werken met data.
De laatste, bondige ‘uit het veld’ is geschreven door hoogleraar publieke instituties Judith van Erp (Universiteit Utrecht), naar aanleiding van het aanbieden van de Wetenschapsagenda Toezicht aan de Inspectieraad. Het doel daarvan is om de dialoog tussen wetenschap en toezicht te versterken, door toezichtsvraagstukken in wetenschappelijke netwerken op de kaart te zetten, onder meer met behulp van het toegankelijk maken van inspectiedata.
In een essay over de impact van ‘data science’ op de organisatie van inspecties werkt Haiko van der Voort (TU Delft) de toepassing van nieuwe methoden en technieken binnen inspectieorganisaties uit. Hij kijkt naar de implementatie vanuit het perspectief van de relatie tussen datawetenschapper en inspecteur. Beide vertegenwoordigen verschillende, en soms strijdige, bronnen van kennis die essentieel zijn voor risicogebaseerd toezicht. De auteur bespreekt de mate waarin diverse oplossingsrichtingen een synergie tussen inspecteurs en data scientists kunnen bewerkstelligen. Het vermogen daartoe hangt af van de onderlinge interactie, een gedeeld belang en het ruimte geven aan elkaars autonomie.
Het themanummer sluit af met twee prikkelende, korte stukken. Hoogleraar informatierecht Nico van Eijk pleit in een opiniebijdrage voor ‘echt onafhankelijk toezicht’. Hij is kritisch op de manier waarop toezichthouders, waaronder de Autoriteit Persoonsgegevens (AP) institutioneel ingebed worden. Deze inbedding roept nogal eens vragen op over de mate van onafhankelijkheid. Nicolai van Gorp (adviseur e-Conomics) heeft een column geschreven over data en marktmacht. Dit stuk ligt in het verlengde van de bijdragen van Graef en Stil e.a. Zijn visie is dat het oplossen van het privacyprobleem van big data de sleutel kan bieden tot het vraagstuk van marktmacht door data, terwijl mededingingsautoriteiten de neiging hebben om andersom te redeneren en privacytoezichthouders te weinig oog voor economische aspecten hebben.
Met deze uiteenlopende bijdragen bestrijkt dit themanummer diverse specifieke, interne en externe uitdagingen voor toezichthouders. Een stukje van de ijsberg. Wat de toekomst betreft: er zullen zich ongetwijfeld nieuwe incidenten voordoen van een kaliber dat vergelijkbaar is met het recente schandaal rondom het gebruik van gebruikersdata van Facebook voor politieke doeleinden door Cambridge Analytica. Terugkomend op de mogelijkheden die de AVG biedt om een schadevergoeding op te leggen, hoeveel zouden deze bedrijven dan als compensatie moeten betalen, en aan wie precies? We hebben hier te maken met gevolgen die het functioneren van de maatschappij en daarmee alle burgers raken (ongeacht of Facebook data over hen verzamelt – iets wat overigens ook mensen zonder Facebookaccount betreft). Het gaat daarom slechts beperkt over ‘marktfalen’, en vooral over maatschappelijk falen. Een dergelijk incident kan de maatschappij zelfs ontwrichten. Boetes en aansprakelijkheid hebben natuurlijk enige impact, maar individuele schadevergoedingen houden nog geen verband met de maatschappelijke impact van ongeoorloofd gegevensgebruik. Wanneer het onderling vertrouwen tussen en onder burgers en bedrijven verdwijnt, verschuiven alle (ooit zo vanzelfsprekende) uitgangspunten voor maatschappelijke interactie. De toekomst van regelgeving en toezicht hangt sterk af van de mate waarin beleidsmakers en politici zich genoodzaakt voelen om dan vooral daadkracht te laten zien, of ook in staat zijn om eventuele interventies op weloverwogen wijze door te voeren. Ik hoop daarom dat er nog meer beleidsgerichte publicaties en themanummers over data, privacy, digitalisering en de maatschappelijke impact daarvan zullen volgen.
Namens de redactie wens ik u nieuwe inzichten en veel leesplezier.