Vorige week werd de GDPR (of AVG) twee jaar oud. In vergelijking met de media-aandacht bij haar geboorte (een 'verordening' is vrouwelijk, dus het is een meisje) en de tientallen geboortekaartjes die u op 25 mei 2018 ongetwijfeld in uw mailbox ontving, ging dit tweede verjaardagsfeestje onopgemerkt voorbij.
Van de monumentale impact die de inwerkingtreding van de GDPR met zich mee zou brengen, kwam niet veel in huis. Wel leert de praktijk ons dat de verordening enkele belangrijke zaken in gang heeft gezet. Enkele beschouwingen vanuit de praktijk.
Serieuze inspanningen
Ten eerste lijken veel bedrijven met GDPR – en breder: privacy – bezig te zijn geweest en serieuze inspanningen te hebben geleverd om hun interne structuur alsook hun interactie met klanten en leveranciers in lijn te brengen met de wettelijke vereisten. Toch zijn er ook bedrijven die, twee jaar na de inwerkingtreding, nog niet zijn overgegaan tot het implementeren van een GPDR-aanpak. Dat creëert een zeker risico.
Naast de bedrijven zijn immers ook de burgers meer bewust geworden van hun rechten op grond van de Europese privacywetgeving. Vanuit onze eigen praktijk kunnen we niet zeggen dat er een stortvloed van vragen is gekomen sinds het in voege treden van de GDPR, maar we merken toch dat er veel meer vragen van individuen komen dan wat pakweg vijf jaar geleden het geval was. Sommige van die vragen kunnen in der minne worden opgelost maar het risico bestaat dat een burger die meent onvoldoende genoegdoening te hebben bekomen, een klacht indient bij de Belgische gegevensbeschermingsautoriteit (ofte GBA). Een dergelijke klacht kan een meer uitgebreid onderzoek met zich meebrengen, en dat gebeurt meer en meer in de praktijk.
Inderdaad, de aanpak van deze Belgische GBA is een andere evolutie die we in het privacylandschap waarnemen. De sancties die deze autoriteit recent oplegde aan diverse ondernemingen, tonen duidelijk aan dat de inloopperiode die werd toegekend aan bedrijven om zich in regel te stellen, een einde heeft genomen. De sancties, die lopen van duizend euro tot vijftigduizend euro, zijn in sommige gevallen zeer zwaar. Het Brusselse Marktenhof heeft de GBA alvast minstens één keer teruggefloten, maar dit heeft de GBA geenszins tegengehouden om nieuwe sancties op te leggen. Na twee jaar sinds de inwerkingtreding zijn we dan ook duidelijk terechtgekomen in de periode waarin de controle en daarmee gepaarde (mogelijke) sanctionering zal toenemen.
Draagwijdte
Een ander punt dat ons in de voorbije twee jaar is opgevallen, is dat de draagwijdte en de doelstellingen van de GDPR vaak worden geciteerd of geïnterpreteerd op een manier die naar onze mening niet strookt met de doelstelling van de wetgever. We blijven erbij dat de GPDR in essentie niets als dusdanig verbiedt, getuige waarvan de meer dan honderd artikelen in deze verordening waarin geen enkele verbodsbepaling als zodanig is terug te vinden!
Integendeel, de GDPR schept een juridisch kader, grotendeels gebaseerd op gezond verstand, waarbinnen naar onze mening activiteiten en (technologische) evolutie geenszins aan banden worden gelegd maar wel degelijk mogelijk blijven mits naleving van een aantal basisprincipes. De hele discussie omtrent de corona-apps is daarvan een goed voorbeeld. De privacywetgeving wordt gebruikt om de ontwikkeling of het gebruik van die apps tegen te gaan, daar waar die wetgeving dat naar onze mening niet verbiedt. Men moet GDPR dus niet aangrijpen om ontwikkeling tegen te gaan. Integendeel, apps die worden ontwikkeld onder de gouden GDPR-standaard hebben net die competitive advantage die onze bedrijven in de rest van de wereld kunnen uitspelen.
Een laatste bemerking is dat we nog meer lijken te evolueren naar een multidisciplinaire aanpak. Verschillende aspecten die bij een project – van welke aard ook – belangrijk zijn, worden minder vanuit silo’s bekeken maar van bij de aanvang door teams die het project bekijken vanuit hun eigen expertise en invalshoek. Dat stimuleert overleg, efficiëntie en creativiteit. GDPR heeft daaromtrent naar mijn mening een stuk gewerkt als driver, bijvoorbeeld in het ganse privacy by design–verhaal.
Kortom, wij nemen verschillende gevolgen waar sinds de inwerkingtreding van de GDPR, en ongetwijfeld zal dit alles nog verder evolueren. En oh ja, gelukkige verjaardag GDPR, we blijven je groei en ontwikkeling op de voet volgen!
