GDPR - al bijna 100.000 klachten

Tijdens de jaarlijkse Data Protection Day heeft de Europese Commissie in een gezamenlijke verklaring een status update gegeven over de impact van de General Data Protection Regulation. Volgens deze verklaring is acht maanden na de inwerkingtreding van de Algemene Verordening Gegevens­bescherming op 25 mei 2018 de Europese Commissie erg trots om de sterkste en meest moderne regels voor gegevensbescherming ter wereld te hebben.

De Facebook en Cambridge Analytica-zaak en de vele recente datalekken hebben aangetoond dat zij het juiste doen om uw privacy te bewaken. Waar het om gaat, is niet alleen de bescherming van onze privacy, maar ook de bescherming van onze democratieën en de waarborging van de duurzaamheid van onze data gedreven economieën volgens eerste vice president Frans Timmermans.

Sinds de inwerkingtreding van de Europese data beschermingsregels in mei vorig jaar hebben de nationale privacywaakhonden in de Europese Unie al meer dan 95.000 klachten ontvangen van burgers. Maar wat zijn nu juist die klachten en waar komen ze vandaan? En wat zijn volgens de Data Protection-autoriteiten de meest voorkomende datalekken?

We zetten een aantal zaken eens op een rijtje:

GDPR Compliance

Het aantal meldingen (zie figuur 1) sinds de inwerkingtreding op 25 mei 2018 is vooral in de laatste maanden spectaculair toegenomen en hieruit kunnen we afleiden dat de bewustwordingscampagne maar zeer traag op gang is gekomen met betrekking tot de rechten van de betrokken burgers (Data Subject Rights).

Meest voorkomende soorten klachten

Het is dan ook niet verwonderlijk dat de meeste klachten die de burgers neerleggen aangaande hun Privacy komen van de activiteiten van telemarketing en e-mail promoties (zie figuur 2). Maar ook camera’s voor videobewaking worden als ergernis genoteerd, ondanks dat hiervoor al langer een privacywetgeving bestaat met strikte regels.

Meldplicht

Ook het melden van een datalek roept nog steeds vele vraagtekens op en de verplichting om binnen 72 uren het lek te melden zal voor problemen blijven zorgen binnen de organisaties. Veel bedrijven zijn nog steeds niet klaar met hun inventarisatie van waar de tot een persoon herleidbare gegevens zich bevinden binnen en buiten de organisatie (Data Register).

Handhaving van de regels binnen de EU

Als we naar het aantal klachten kijken, is de verhouding tussen de verschillende Gegevens Beschermingsautoriteiten per land binnen de Europese Unie in stijgende lijn (zie figuur 3). Kortom er zal meer moeten worden samengewerkt tussen de beschermingsautoriteiten (DPA) onderling over de landsgrenzen heen.

Boetes

Waar men eerder bang voor was sinds de invoering van GDPR blijkt in verhouding met het aantal klachten nog wel mee te vallen, want er zijn tot op heden slechts drie boetes uitgereikt aan die bedrijven die in overtreding waren (zie figuur 4). Wellicht heeft dit ook te maken met de trage start van sommige beschermingsautoriteiten in de Europese landen en moet de machine nog op gang komen?

Bewustwording en media-aandacht

Dankzij de ruime media-aandacht en de vele bewustwordingssessies door middel van seminars en doelgerichte events rondom het thema ‘privacy’wetgeving’ stond GDPR hoog op de agenda bij vele organisaties. Tijdens de piekmaand van vorig jaar mei werd de term ‘GDPR’ meer gezocht op Google dan de Amerikaanse supersterren Beyoncé en Kim Kardashian (zie figuur 5).

Ondanks deze bewustwording met betrekking tot de nieuwe Privacy wetgeving is er nog veel werk aan de winkel en dit zal nog wel enige tijd in beslag nemen. Vooral de bedrijven die nu nog moeten beginnen om in orde te zijn met de GDPR zullen een tandje moeten bijsteken, want vroeg of laat zal de burger via de nationale privacy­waakhonden ook bij hen aankloppen om hun recht op privacy te laten gelden.

Ik ben benieuwd of de jaarlijkse Databeveiligingsdag de erkenning bij zowel bedrijven als de consument zal laten toenemen en men de GDPR werkelijk zal omarmen. Zal ongetwijfeld worden vervolgd.

Peter Witsenburg is GDPR-expert en cloud broker