interview

Max Schrems: ‘Is regels overtreden cool? Dat maakt mij kwaad'

©REUTERS

Hij is de Europese luis in de dure pels van de Amerikaanse techbedrijven. De jonge Oostenrijkse activist weegt eigenhandig op de internationale privacywetgeving. Ontbijt met De Tijd.

Zoomen bij het ontbijt, voor Max - geboren als Maximilian - Schrems is het bijna dagelijkse kost. Alleen is hij blij dat hij het dit keer niet stiekem buiten beeld hoeft te doen, met grote dank aan dit interviewformat. En dus lepelt hij rustig zijn potje biologische vanilleyoghurt op, met een grote kop thee erbij. ‘Dat is het zowat, de meeste ochtenden toch. Nee, ik ben geen voorbeeldige ontbijter.’

De videoverbinding legt een brug tussen onze respectieve bubbels, van mijn keukentafel in Antwerpen tot het bureau van Schrems in zijn appartement in hartje Wenen, vlak bij het winkeldistrict Mariahilferstrasse. Hij volgt, allicht onbewust, de intussen bekende Zoom-etiquette: videobellen doe je met je boekencollectie als achtergrond. Al valt op zijn rek vooral het knalroze logo op van zijn drie jaar geleden opgerichte privacy-vzw NOYB - lees: ‘nooib’ - wat een afkorting is voor wat Schrems vindt over persoonlijke zaken: None Of Your Business.

De 33-jarige Oostenrijker, fris geschoren en in een zwart Superdry-T-shirt, zit nog in de wittebroodsweken van alweer een klinkende juridische zege. Vorige maand vernietigde het Europees Hof van Justitie het akkoord tussen de EU en de VS over het uitwisselen van persoonsgegevens. Volgens dat kader, het Privacy Shield, mochten Europese bedrijven data van burgers naar bedrijven in de VS sturen, waar ook de Europese beschermingsregels van kracht zouden zijn. Dat laatste trok Schrems in twijfel. Hij focuste, niet voor het eerst, op Facebook en stapte naar de rechter in Ierland, de Europese thuisbasis van het grootste sociale medium ter wereld. De zaak kwam bij het Europees Hof in Luxemburg terecht, en dat oordeelde grotendeels in het voordeel van Schrems.

Dat hij tot de Europese posterboy van de privacystrijd is uitgegroeid, zit hem nog altijd niet zo lekker.

Globaal mediafenomeen

Niet dat hij dolblij is na de uitspraak. ‘Ik ben vooral opgelucht dat het achter de rug is. Het probleem is … dat het probleem niet is opgelost. Er blijft een clash van wetgeving: de Europese privacyregels botsen met de Amerikaanse surveillancewet’, zegt hij, terwijl hij voor de webcam zijn vingertoppen tegen elkaar duwt om zijn punt te illustreren. ‘Voor Europeanen blijft gelden dat ze machteloos staan als ze willen aanklagen dat de inlichtingendiensten meekijken over de schouders van Amerikaanse bedrijven die hun data in handen hebben.’

©SISKA VANDECASTEELE

Wel deed de activist zijn reputatie van vlieg in de chardonnay van de techindustrie weer alle eer aan. Schrems werd in 2015 als twintiger een globaal mediafenomeen toen dankzij hem de voorganger van Privacy Shield, wat toen nog Safe Harbour heette, naar de prullenmand werd verwezen. Die zaak kwam er na de wereldschokkende onthullingen van Edward Snowden in 2013. Die hing aan de grote klok hoe de Amerikaanse NSA op grote schaal snuistert in intieme gegevens van burgers. En wat dan met de data die ik als Europeaan aan het Amerikaanse Facebook toevertrouw, vroeg Schrems zich af. Het Hof oordeelde uiteindelijk dat Safe Harbour helemaal niet zo veilig was. Daarna sloten de EU en de VS een nieuwe deal, die neerkwam op niet veel meer dan een vers logo en een nieuwe naam, vindt Schrems.

‘Het Hof heeft daardoor eigenlijk hetzelfde gezegd als vijf jaar geleden. De reactie van velen was: ‘Oh my god, de rechter meende dat de eerste keer echt?’ Ja dus’, zegt Schrems, nippend van zijn kop thee. ‘Onbegrijpelijk, dat zijn wetten waar bedrijven op zouden moeten vertrouwen als ze beslissen over grote investeringen.’

De Oostenrijker is een spraakwaterval van perfect Engels en veel ‘legalese’: juridisch jargon over privacy- en andere wetgeving. ‘Sorry, soms zet ik te veel mijn hoed van jurist op.’ De minachtende houding tegenover privacy vindt hij stuitend. ‘Het is nog een onvolwassen rechtsgebied. Normaal gaat het zo: je parkeert op de foute plaats en je krijgt een parkeerboete. Maar in dit domein, een fundamenteel recht, is de houding eerder: het is niet zo fijn dat je de wet overtreedt, maar maak je geen zorgen als je het wel doet.’

Ik bestudeer Facebook en hoe het technisch en juridisch werkt al negen jaar, mogelijk meer dan eender wie, en ik begrijp het nog altijd niet.

Bespioneerd

Is privacy dan wel een even fundamenteel recht als pakweg de vrijemeningsuiting of het stemrecht als veel mensen, verknocht aan smartphones en sociale media, het lijken te hebben opgegeven als een luxeprobleem? ‘Privacy is helaas niet tastbaar. Wel tastbaar en in your face, letterlijk, is dat mooie lichtgevende scherm van je smartphone. Terwijl de echte shit aan de gang is op de servers aan de achterkant en bij de big data analytics die er worden losgelaten op jouw gegevens en die van je contacten. Hoe jouw seksuele geaardheid, ook al heb je er nog nooit iets over gedeeld, wordt berekend op basis van al die datapunten. Maar dat zien we niet.’

‘Ik bestudeer Facebook en hoe het technisch en juridisch werkt al negen jaar, mogelijk meer dan eender wie, en ik begrijp het nog altijd niet. Het werkt in ieder geval zo goed dat mensen hardnekkig blijven geloven dat ze worden afgeluisterd omdat ze advertenties te zien krijgen voor iets waarover ze hebben gepraat. De realiteit is dat de data-analyse zo sterk is dat je gaat geloven dat je bespioneerd wordt. Het bewijst ook hoe hard we sterke waakhonden met expertise nodig hebben. Die hebben we in alle domeinen. We zouden nooit een trein laten rijden tegen 300 kilometer per uur zonder dat een regulator goed snapt hoe het gebeurt en hoe veilig het is. Maar in de digitale sfeer leggen we de verantwoordelijkheid bij de gebruiker? Compleet onrealistisch.’

Nu de wereld in een pandemie zit, clasht privacy met publieke gezondheid. Er zijn zorgen over apps en telefonisten met wie we onze whereabouts zouden moeten delen. Maar Schrems ziet het probleem niet. ‘Het interessante is dat de Europese datawetgeving GDPR (uit 2018, red.) geanticipeerd heeft op een pandemie. Het is perfect legaal in deze situatie persoonsgegevens te gebruiken. Het is wel belangrijk hoe je het doet. Het moet goed ontworpen zijn en zo veel mogelijk anoniem.’

Dat ik het als David tegen Goliath opneem, bewijst vooral hoe hard we privacy hebben mismeesterd. De privacywaakhonden doen nooit iets.

Schrems toont de Oostenrijkse corona-app, die in tegenstelling tot de nog onbestaande Belgische al lang up and running is. ‘Op legaal vlak was er nooit een probleem, wel met de naam. Omdat men het een tracingapp noemde, dus een app die je volgt, zei meer dan 70 procent van de Oostenrijkers: no way. Best irrationeel. Wie de holebidatingapp Grindr gebruikt, geeft onmiddellijk data prijs aan minstens 4.000 bedrijven via ingebouwde trackers. Maar dat heet dan dating, en niet tracking, dus het is geen probleem. Een app van het Rode Kruis was dat wel.’

Europese posterboy

Het hoeft niet te verbazen dat Schrems, geboren in Salzburg, heel karig is met informatie over zichzelf, zijn achtergrond en zijn levensloop. Dat hij tot de Europese posterboy van de privacystrijd is uitgegroeid, zit hem nog altijd niet zo lekker. ‘In het begin wilde ik mijn naam en foto er nooit bij’, zegt hij. ‘Intussen heb ik geleerd hoe media werken. Dat ik, in het begin als simpele student, het als David tegen Goliath opneem om privacy af te dwingen, bewijst vooral hoe hard we privacy hebben mismeesterd. Ja, het is flatterend, maar het zou zo niet mogen zijn. De publieke privacywaakhonden zouden dit op zich moeten nemen. Als je die van de EU-landen optelt, heb je best wat slagkracht. Maar niemand doet ooit iets.’

Hij geraakte voor het eerst echt geagiteerd toen hij als rechtenstudent een semester doorbracht in Silicon Valley, en een advocaat van Facebook een gastcollege kwam geven. ‘Hij wist dat een Europeaan in de zaal zat, en zei daarom uitdagend: ‘Als je in Europa de wet overtreedt, gebeurt toch niks. Dus we doen maar op.’ Schrems besloot zijn thesis over het onderwerp te maken. Tijdens de research vroeg hij bij Facebook alle informatie op die het bedrijf over hem had, en stelde hij gechoqueerd vast dat het om 1.200 pagina’s aan gegevens gaat, met daarin alles wat hij ooit aanklikte of elk privébericht dat hij ooit stuurde.

Als het cool is om als enige geen belastingen te betalen, kom je in een samenleving van assholes terecht. En dan wint de grootste asshole en verliest de rest.

Schrems zegt dat hij intussen, meer nog dan over ‘that privacy thing’, vooral kwaad wordt van de heersende cultuur onder de grote techbedrijven - die hij samen met de Amerikaanse overheid in een ‘publiek-privaat partnerschap van surveillance’ plaatst. Ze plaatsen zichzelf boven de wet, stelt hij. ‘Iedereen betaalt belastingen, volgt de arbeidswetgeving, schikt zich naar privacyregels. Behalve zij. Dat wordt ook zo geleerd in de law schools in de VS: maak een risicoanalyse, en als de kans op een negatief gevolg klein is en de kans op winst groot, dan kan je de regels blijven breken. Dat is de agressieve aanpak van Silicon Valley. That is how we roll, zeggen ze.’

‘En ze slagen erin de perceptie zo te spinnen dat het cool of innovatief is de regels te breken. Als het cool is om als enige geen belastingen te betalen, kom je in een samenleving van assholes terecht. En dan wint de grootste asshole en verliest de rest.’

100 zaken

‘Ik hoorde het onlangs nog van iemand bij Google. Je hebt sinds kort het recht om alles op te vragen wat het bedrijf van je heeft. Het pakt graag uit met een tool die je dat allemaal zou geven. Daarmee claimt Google de beste van de klas te zijn. Maar de tool blijkt een lege schelp. De gegeven informatie komt niet eens in de buurt van wat volgens de wet zou moeten. Als je dat vraagt, zeggen ze: ‘Ja, we kunnen beter.’ Bla bla. Maar intussen blijft je burgerrecht dode letter.’

De voorbije negen jaar spanden Schrems en NOYB al minstens 100 zaken aan, gokt hij. ‘Sommige stellen niet zo veel voor, hoor.’ Heeft hij het gevoel dat het helpt? Dat hij er wat meer ethiek krijgt ingestampt op deze manier? ‘Ik word op conferenties wel eens aangeklampt door de privacychefs van grote bedrijven die zeggen: ‘Dank je voor wat je doet. Daardoor krijg ik mijn bazen beter uitgelegd dat het belangrijk is. Dat we GDPR niet mogen negeren.’ Dus ja, op een indirecte manier wel. Een directe positieve impact bij Facebook zie ik niet. Zij blijven bij: fuck the rules.’

Lees verder

Advertentie
Advertentie