Van zorgen over het delen van gegevens tot het hosten van schadelijke inhoud, elke week lijkt er meer roep om nieuwe wetten te komen om de technologiereuzen te reguleren en het internet "veiliger" te maken. Maar wat als onze bestaande gegevensbeschermingswetten, tenminste in Europa, het grootste deel van het werk kan bereiken?

Duitsland is al begonnen met het invoeren van nieuwe wetgeving, in 2018 een wet uitvaardigen die socialemediabedrijven dwingt haatdragende inhoud te verwijderen. In het Verenigd Koninkrijk, de regering heeft een gedragscode voorgesteld voor socialemediabedrijven om "misbruikende inhoud" aan te pakken. En gezondheidssecretaris Matt Hancock heeft nu wetten geëist die de verwijdering van dergelijke inhoud regelen. In de tussentijd, plaatsvervangend oppositieleider Tom Watson heeft een wettelijke zorgplicht voorgesteld voor technologiebedrijven, in lijn met recente voorstellen van Carnegie UK Trust.

Wat opvalt aan veel van deze voorstellen, is hoeveel ze verwijzen naar en herinneren aan de nieuwe Algemene Verordening Gegevensbescherming (AVG) van de EU. Hancock, die de invoering van deze wetgeving door het VK leidde (hoewel hij er ook van werd beschuldigd er een beperkt begrip van te hebben) verwees naar de controle die het mensen geeft over het gebruik van hun gegevens. Watson herinnerde aan de hoogte van de boetes die zijn opgelegd door de AVG, erop wijzend dat soortgelijke straffen kunnen gelden voor degenen die zijn voorgestelde zorgplicht schenden.

De Carnegie-voorstellen, ontwikkeld door voormalig ambtenaar William Perrin en academicus Lorna Woods, werden geïnspireerd door de benadering van de AVG om per geval uit te werken welke beschermende maatregelen nodig zijn. Wanneer een proces waarbij gegevens betrokken zijn waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van mensen, degene die verantwoordelijk is voor het proces moet een zogenaamde gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren. Dit houdt in dat de risico's worden beoordeeld en wordt bekeken wat er gedaan kan worden om deze te mitigeren.

Het belangrijkste om hier op te merken is dat, terwijl eerdere gegevensbeschermingswetten grotendeels gericht waren op de privacy van mensen, De AVG houdt zich bezig met hun bredere rechten en vrijheden. Dit omvat zaken die verband houden met "sociale bescherming, volksgezondheid en humanitaire doeleinden". Het is ook van toepassing op iedereen wiens rechten worden bedreigd, niet alleen de mensen wiens gegevens worden verwerkt.

Bestaande rechten en vrijheden

Veel van de problemen waar we ons zorgen over maken, kunnen worden gezien als schendingen van rechten en vrijheden. En dat betekent dat socialemediabedrijven aantoonbaar gedwongen kunnen worden om deze problemen aan te pakken door gegevensbeschermingseffectbeoordelingen uit te voeren onder de bestaande AVG-wetgeving. Dit omvat het nemen van maatregelen om de risico's te mitigeren, zoals het veiliger maken van de gegevens.

Bijvoorbeeld, er zijn aanwijzingen dat sociale media het risico op zelfmoord bij kwetsbare mensen kunnen vergroten, en dat betekent dat sociale media een risico kunnen vormen voor het recht op leven van die mensen, het eerste recht dat wordt beschermd door het Europees Verdrag voor de Rechten van de Mens (EVRM). Als sociale netwerken persoonlijke gegevens gebruiken om mensen inhoud te tonen die dit risico voor hun leven zou kunnen vergroten, onder de AVG, het netwerk moet zijn effectbeoordeling heroverwegen en passende maatregelen nemen om het risico te beperken.

Het Cambridge Analytica-schandaal, waar Facebook bleek te hebben gefaald om gegevens te beschermen die later werden gebruikt om gebruikers te targeten in politieke campagnes, kan ook worden bekeken in termen van risico voor rechten. Bijvoorbeeld, Protocol 1, Artikel 3 EVRM beschermt het recht op "vrije verkiezingen".

Als onderdeel van het onderzoek naar het schandaal, het Britse Information Commissioner's Office heeft politieke partijen gevraagd om effectbeoordelingen uit te voeren, gebaseerd op de bezorgdheid dat het profileren van mensen op basis van hun politieke opvattingen hun rechten zou kunnen schenden. Maar gezien de rol van Facebook bij het verwerken van de betrokken gegevens, het bedrijf zou kunnen worden gevraagd hetzelfde te doen om te zien welke risico's voor vrije verkiezingen zijn praktijken met zich meebrengen.

Denk na over wat je zou kunnen breken

Uit de voortdurende geschiedenis van verrassingen en verontschuldigingen van Facebook, je zou kunnen denken dat de nadelige effecten van een nieuwe functie in sociale media volledig onvoorspelbaar zijn. Maar aangezien het motto van het bedrijf ooit was "beweeg snel en breek dingen", het lijkt niet al te ver om Facebook en de andere techreuzen te vragen te anticiperen op de problemen die hun pogingen om dingen te breken kunnen veroorzaken.

Vragen "wat kan er mis gaan?" serieuze antwoorden moeten oproepen in plaats van een luchthartige uiting van optimisme te zijn. Er moet niet alleen gekeken worden naar hoe technologie bedoeld is te werken, maar ook hoe het misbruikt kan worden, hoe het te ver kan gaan, en wat er kan gebeuren als het slachtoffer wordt van een beveiligingsinbreuk. Dit is precies waar de social media bedrijven te weinig aan hebben gedaan.

Ik zou willen stellen dat de bestaande bepalingen van de AVG, als het goed wordt toegepast, zou voldoende moeten zijn om technologiebedrijven te dwingen actie te ondernemen om veel van wat er mis is met de huidige situatie aan te pakken. Met behulp van de bestaande, zorgvuldig geplande en veelgeprezen wetgeving is beter en efficiënter dan proberen te ontwerpen, nieuwe wetten uitvaardigen en handhaven die waarschijnlijk hun eigen problemen zullen hebben of die de kans op misbruik creëren.

Het op deze manier toepassen van effectbeoordelingen zou de op risico's gebaseerde benadering delen om technologiebedrijven een zorgplicht te geven. En in de praktijk het is misschien niet al te verschillend, maar zonder enkele van de potentiële problemen, die talrijk en complex zijn. Het op deze manier gebruiken van de wet zou een duidelijke boodschap afgeven:socialemediabedrijven moeten eigenaar zijn van de internetveiligheidsrisico's die ze helpen creëren, en beheer ze in overleg met regelgevers.

Dit artikel is opnieuw gepubliceerd vanuit The Conversation onder een Creative Commons-licentie. Lees het originele artikel.