Onderzoek in opdracht van Facebook wees uit dat het opschorten van datastromen elk jaar enkele miljarden dollars kan kosten.
Roo Lewis/Getty Images
De EU verscherpt haar greep op de overdracht van persoonlijke gegevens buiten het blok , maar volgens Facebook kan het Europese streven om privacy te beschermen onverwachte – en dure – gevolgen hebben voor zowel bedrijven als burgers.
Het socialemediaplatform heeft een nieuw onderzoek gepubliceerd in opdracht van economen van Analysis Group, dat probeert te kwantificeren hoeveel geld er precies verloren kan gaan als sommige organisaties plotseling geen persoonlijke gegevens buiten de EU zouden kunnen overbrengen.
Als we specifiek kijken naar de telecom- en farmaceutische industrie, evenals naar de outsourcing van digitale betalingen en diensten, bleek uit het onderzoek dat het opschorten van gegevensstromen jaarlijks enkele miljarden dollars zou kunnen kosten, waarbij klanten onvermijdelijk worden beïnvloed door hogere prijzen en een lagere kwaliteit van de dienstverlening.
Het scenario is hypothetisch: de economen in opdracht van Facebook keken naar een denkbeeldige situatie waarin de overdracht van persoonlijke informatie buiten het blok helemaal niet meer mogelijk was.
Volgens Facebook is dit echter een mogelijk gevolg dat zou kunnen voortvloeien uit de recente uitspraak van de EU over trans-Atlantische doorgifte van persoonsgegevens, ook bekend als Schrems II, waardoor een cruciaal mechanisme, het privacyschild, ongeldig werd verklaard. persoonlijke informatie vrij te laten stromen tussen het blok en de VS.
Hoewel meer dan 5.300 bedrijven op het privacyschild vertrouwden om zaken te doen over de Atlantische Oceaan, werd het mechanisme vorig jaar ongeldig verklaard na een klacht van de Oostenrijkse advocaat en activist Max Schrems tegen Facebook. In het licht van de onthullingen van Edward Snowden over de spionageactiviteiten van de Amerikaanse regering, betoogde Schrems dat de informatie die buiten de EU naar de Amerikaanse servers van Facebook wordt verzonden, het risico loopt te worden misbruikt door Amerikaanse wetshandhavingsinstanties.
Het Schrems II-besluit bepaalde dat bedrijven zouden moeten terugvallen op alternatieve contracten, bekend als Standard Contractual Clauses (SCC's), om gegevens tussen de EU en de VS over te dragen – maar in sommige gevallen waarschuwde de regelgevers dat zelfs SCC's onvoldoende zouden kunnen zijn om ervoor te zorgen dat de gegevens van Europese burgers worden beschermd tegen snuffelen door buitenlandse regeringen.
De exacte implicaties van de beslissing zijn onzeker, benadrukte Facebook, en het rapport geeft niet de mening van het bedrijf weer over de juiste of zelfs waarschijnlijke interpretatie van het vonnis. Maar volgens het onderzoek zou een strikte toepassing van de uitspraak kunnen leiden tot een verbod op alle kritieke gegevensoverdrachten buiten de EU – niet alleen in de VS, maar in elk land waar de wetgeving inzake gegevensbescherming niet voldoet aan de AVG-normen.
“Als de uitkomst van het huidige beleidsdebat over de reikwijdte van het Schrems II-besluit leidt tot ofwel een de jure verbod op de overdracht van persoonsgegevens buiten de EER of, door aanzienlijk hogere transactiekosten, een feitelijk verbod, dan zullen de economische gevolgen voor de De Europese economie kan aanzienlijk zijn”, aldus de onderzoekers.
Volgens het rapport konden reizigers tijdens hun vakantie geen gebruik meer maken van internationale roaming, omdat daarbij een deel van de persoonlijke gegevens van de gebruiker tussen hun thuisnetwerk en het bezochte netwerk wordt uitgewisseld. Er zou daarom een pay-as-you-go-serviceplan moeten worden gekocht voor elk van de ongeveer 95 miljoen reizen die EU-burgers elk jaar buiten het blok maken, wat volgens de economen hen tussen de € 1 miljard ($ 1,22 zou kosten) miljard) en € 4,5 miljard ($ 5,5 miljard) per jaar.
Zonder hun persoonlijke gegevens buiten de EU te kunnen sturen, zouden consumenten ook worden beroofd van digitale betalingsdiensten waarvoor bankrekeninggegevens nodig zijn, zoals Apple Pay, Google Pay of PayPal. Dat kan tot nog eens € 699 miljoen ($ 852 miljoen) aan transacties vertegenwoordigen die elke dag verloren gaan.
EU-bedrijven zouden moeten stoppen met het uitbesteden van functies waarvoor toegang tot klant- of werknemersgegevens nodig is, zoals IT, contactcenters of human resources, en in plaats daarvan die banen binnen het blok moeten “back-shore” tegen een kostprijs van maximaal € 91,7 miljard ( $ 111,8 miljard) per jaar. En door grote databases met belangrijke patiëntinformatie weg te houden van niet-EU-onderzoekers, zou het tijdsbestek voor de ontwikkeling en goedkeuring van geneesmiddelen aanzienlijk kunnen worden verlengd, waardoor de kans op een besparing tot € 1 miljard ($ 1,22 miljard) per nieuw ontwikkeld geneesmiddel wordt verkleind.
Sommige van de in het rapport genoemde voorbeelden lijken nogal onwaarschijnlijk. In tegenstelling tot wat het onderzoek suggereert, is het onwaarschijnlijk dat de digitale handel significant wordt beïnvloed, aangezien de AVG de gegevensoverdracht mogelijk maakt als de betrokkene vrijwillig zijn eigen informatie verzendt, of als de overdracht noodzakelijk is om een door de gebruiker aangevraagd contract – bijvoorbeeld om toegang te krijgen tot internationale roaming.
Volksgezondheid krijgt ook een speciale plaats in de AVG en de European Data Protection Board (EDPB) heeft aan het begin van de COVID-19-pandemie zelfs richtlijnen gepubliceerd om de regelgevers eraan te herinneren dat de wet bepalingen bevat die de verwerking van persoonsgegevens buiten de EU toestaan ten behoeve van wetenschappelijk onderzoek.
Zelfs als die bepalingen niet bestonden, mist het onderzoek in opdracht van Facebook voor Ben Rapp, de oprichter van dataprivacyadviesbureau Securys, enigszins het punt van de Schrems II-beslissing.
“Waar Schrems zich openlijk zorgen over maakt, is massasurveillance in de VS”, vertelt Rapp aan ZDNet. “Facebook heeft vastgehouden aan het idee dat hierdoor op de een of andere manier alle grensoverschrijdende gegevensstromen zullen worden gestopt, terwijl de EU zich alleen zorgen maakt over het feit dat enorme hoeveelheden burgergegevens worden opgeslurpt en doorverkocht aan derden of onderworpen worden aan overheidstoezicht. Ze missen het punt over wat de EU aangaat.”
De AVG, legt Rapp uit, is niet geïmplementeerd om te voorkomen dat EU-burgers profiteren van buitenlandse diensten. Wanneer een overdracht van persoonlijke informatie nodig is om een dienst naar Europese gebruikers te brengen, bijvoorbeeld om een digitale portemonnee te gebruiken of te bellen op reis, is het daarom onwaarschijnlijk dat de transactie op dezelfde manier onder de aandacht zal komen als Max Schrems licht op de gegevensstromen die ten grondslag liggen aan het bedrijfsmodel van Facebook.
De belangrijkste reden waarom de socialemediagigant de gegevens van EU-burgers terug naar de VS moet sturen, is in feite om gerichte online advertenties weer te geven – die het grootste deel van de inkomsten van Facebook vormen, maar geen direct voordeel voor de gebruiker, aldus Rapp.
“Als de gegevens niet zouden worden overgedragen in de context van een portemonnee, zou de betrokkene het verliezen omdat hij niet langer de gewenste functionaliteit zou krijgen”, zegt Rapp. “Als Facebook stopt met het overdragen van gegevens naar de VS, is het Facebook dat verliest.”
“Het probleem is dat het in de meeste gevallen relatief eenvoudig is om aan te tonen dat je gegevens kunt overdragen zonder dat deze onder toezicht staan, of dat het per saldo in het voordeel is van de betrokkene om de gegevensoverdracht te doen. Het probleem is Facebook kan dat tweede punt niet maken”, voegt hij eraan toe.
In plaats van zich een onwaarschijnlijk scenario voor te stellen waarin alle gegevensoverdrachten zouden worden opgeschort ten nadele van EU-burgers, betoogt Rapp dat Facebook liever een paper had besteld waarin wordt uitgelegd waarom Europese gebruikers zouden kunnen verliezen als gerichte reclame wordt moeilijker te implementeren in de nasleep van Schrems II – bijvoorbeeld als het socialemediaplatform kosten zou moeten gaan rekenen voor zijn diensten.
“Welk nut hebben consumenten te verliezen als de stroom van advertentiedollars wordt verminderd? Weegt dat verlies aan functionaliteit op tegen de voordelen van niet onderworpen te zijn aan Amerikaans toezicht? Dat is waar deze studie naar had moeten kijken”, zegt Rapp.
Ondanks de betrokkenheid van Facebook bij de industrie, maakte het rapport echter geen melding van de mogelijke impact van Schrems II op digitale advertenties.
Facebook heeft op het moment van schrijven geen commentaar gegeven.
Verwante onderwerpen:
EU Big Data Analytics-innovatie CXO Artificial Intelligence Enterprise-software 