Twitter heeft na een inbreuk op de GDPR-wetgeving een boete van een half miljoen euro in de brievenbus gekregen. Retouradres: Ierland. Het is een eerste succes, en toch briesen de Europese collega’s over de Ierse praktijk.
In het nieuws: Twitter vangt een boete van 450.000 euro voor het breken van de GDPR-wetgeving in 2018.
Wat was de overtreding? Volgens de GDPR-wetgeving moet een klacht binnen de 72 uur worden doorgegeven aan de bevoegde instanties. Daarbij moet meteen ook alle media en gegevens worden doorgegeven. Twitter heeft aan geen van die twee voorwaarden voldaan, in deze specifieke klacht.
Hoe komt dat? Volgens Twitter was de GDPR-dienst onderbemand tussen Kerstmis en oudjaar 2018. Daardoor kon de klacht niet tijdig worden doorgestuurd. Intussen zou dat euvel verholpen zijn.
Er komt trouwens nog een rechtszaak aan: Twitter kreeg in 2020 de grootste hack ooit over zich heen.
Van waar komt de veroordeling? Opvallend genoeg uit Ierland, wat geldt als het techwalhalla van Europa. Een Ierse vingertik komt dus altijd net wat harder aan. Veel grote techspelers hebben er namelijk hun Europese thuishaven door de voordelige fiscale tarieven. Toch komt er veel kritiek op de Ierse boete.
Waarom kwam er kritiek? De Ierse privacywaakhond DPC ligt onder vuur omdat het twee jaar heeft geduurd eer die tot een beslissing kon komen. Omdat de zaak impact kon hebben op alle inwoners van de Europese Unie, kwam er veel externe druk om de zaak zo snel mogelijk klaar te hebben.
Hoe komt het dat het zo lang heeft geduurd? Ierland was eigenlijk al een half jaar eerder klaar met de zaak, zodat die doorgestuurd kon worden naar Europa. Een eerste kladversie van de zaak werd echter niet door alle lidstaten aanvaard. Dat is nu wel het geval en dat resulteert in de boete.
Het grotere probleem: De duur van de zaak heeft Ierland veel kritiek opgeleverd, maar in feite zouden alle Europese landen op hetzelfde probleem zijn gebotst. Wat de Ierse zaak vooral aantoont, is dat Europa helemaal niet klaar is om snel te reageren op techzaken. Die megabedrijven zijn er net op ingesteld om hyperflexibel te reageren op veranderende wetgeving. De Europese wetgeving is daarentegen een log fenomeen, dat zich wendt aan het tempo van een olietanker.
En ook nog: De boete zelf, goed voor 0,1 procent van de jaaromzet van 2019, is kleingeld in vergelijking met wat de maximumstraf kan zijn. Europa laat boetes tot 4 procent van de jaaromzet toe onder de GDPR-wetgeving. Voor deze specifieke zaak was een boete van 2 procent toegestaan, of het twintigvoud van wat Ierland heeft opgelegd. Ook dat kwam terug als kritiek op de eerste kladversie van de zaak. In eerste instantie had de DPC namelijk een nog veel kleinere boete voorgesteld, tussen de 0,005 en 0,01 procent van de jaaromzet.