GDPR: precies op tijd of alweer achterhaald?

Jakub Lewandowski, legal director en global data governance officer bij Commvault, kijkt terug op wat de GDPR de EU heeft gebracht en blikt vooruit op de uitdagingen die er nog liggen.

Vier jaar geleden ging de GDPR van kracht. Wie had toen kunnen voorspellen dat we op de vooravond van een wereldwijde pandemie stonden, met als indirect gevolg een explosieve datagroei en een versnelde overstap naar de cloud?

Thuiswerken dwong organisaties tot het experimenteren met nieuwe technologieën en de GDPR legde het fundament waarop deze verandering plaatsvond. De GDPR bevorderde over de hele linie de bewustwording rond het gebruik van data en droeg bij aan een groeiend vertrouwen tussen verschillende spelers in de digitale economie. Anno 2022 lijkt de GDPR in de hele EU de lat hoger te hebben gelegd voor privacy en gegevensbescherming. Alhoewel onduidelijkheid en verschillen tussen afzonderlijke lidstaten nog problemen opleveren, met name wat betreft internationale dataoverdracht, hinten recente ontwikkelingen op dit gebied ook op positieve veranderingen. Wat houdt dit alles precies in voor bedrijven die de privacy van hun klanten moeten beschermen in overeenstemming met wet- en regelgeving?

De GDPR, een onderscheidende factor

Dankzij de GDPR beschikken we over een compleet overzicht van alle datalekken die hebben plaatsgevonden binnen de EU en het Verenigd Koninkrijk (dat ondanks Brexit nog steeds moet voldoen aan de GDPR). Deze inzichten leggen zowel de omvang van dit probleem als wel de effectiviteit van het toezicht op GDPR bloot.

Volgens DLA Piper werd er in 2021 bijna 1,1 miljard euro aan boetes uitgedeeld. Dit betekent 356 meldingen van datalekken per dag en een zevenvoudige stijging ten opzichte van het totale boetebedrag van vorig jaar. De toename van boetes lijkt enerzijds te wijzen op een groeiend besef onder organisaties dat zij de verantwoordelijkheid hebben om datalekken te melden en anderzijds op intensiever toezicht. Tegelijkertijd klinkt er ook kritiek dat toezichthouders weinig consequent zijn geweest en boetes vaak aan prominente bedrijven oplegden om een voorbeeld te stelen.

Ging de GDPR ver genoeg?

Het antwoord hangt af je marktperspectief. De GDPR gaf absoluut aanzet tot forse investeringen in gegevensbescherming wereldwijd. Bovendien namen bedrijven en masse hun toevoerketen en SaaS-partners onder de loep.

Maar er gaan ook stemmen op dat de GDPR te ver is doorgeslagen. Strengere eisen van de wet- en regelgeving leiden tot hogere ontwikkelingskosten voor digitale bedrijven. Dit zagen we terug in een recent onderzoek naar de afname van het aantal apps in Google Play. Bijna een derde van alle apps verdween omdat zij wet- en regelgeving niet nakwamen. Ook kunnen extra eisen en regelgeving een obstakel vormen voor het betreden van markten. De scheidslijn tussen persoonsgegevens beschermen en innovatie beknellen is dun, maar onderaan de streep moet vertrouwen kweken in onze digitale economie voorop blijven staan.

Gegevensoverdracht over grenzen heen: de grootste misser van de GDPR?

Los van al het goede dat de GDPR heeft gebracht zijn er nog altijd problemen, met name rond de internationale overdracht van persoonsgegevens. Bedrijven verkeren in steeds grotere verwarring door alle onduidelijkheid, overlap en fragmentatie rond regelgeving tussen verschillende landen. Ondertussen lijkt alleen de politiek deze gordiaanse knoop nog door te kunnen hakken.

Daarbij laat ook het toezicht op cross-border dossiers veel te wensen over. Big tech bedrijven zoals Google en Apple verwerken en beheren grote hoeveelheden data over verschillende grenzen heen wat regelmatig leidt tot compliance klachten. Toezichthouders opereren op het niveau van individuele lidstaten. Maar omdat sommige lidstaten disproportioneel veel bedrijven huizen die internationaal grote datavolumes verwerken, kan de workload per toezichthouder enorm uit balans raken. Apple, Google, Facebook, Microsoft, PayPal en TikTok hebben stuk voor stuk een Europees hoofdkantoor in Ierland. Volgens sommige schattingen blijft de meerderheid van alle GDPR compliance dossiers in dit land onbehandeld.

Toch zijn er ook positieve ontwikkelingen op dit gebied. Toezichthouders hebben hun samenwerking rondom internationale dossiers flink opgevoerd en het European Data Protection Board (EDPB) heeft bekendgemaakt dat het de wetgeving inzake GDPR-boetes zal herzien. Waar EU-lidstaten eigen methoden hanteerden voor het bepalen van de hoogte van boetes, worden methoden nu EU-breed gestandaardiseerd. Dit zal de situatie rond de GDPR er een stuk minder verwarrend op maken voor bedrijven.

Wat staat bedrijven in de EU nog meer te wachten?

We moeten nog zien waar de GDPR in zijn huidige vorm ons heen zal voeren. Het introduceerde tal van nuttige concepten en mechanismen, waarvan de belangrijkste de ontwikkeling van een gemeenschappelijke taal voor discussies over privacy en gegevensbescherming.

Zoals bij elke wetgeving waarbij meerdere spelers zijn betrokken moeten bepaalde keuzes worden gemaakt. Maar misschien is dit een goed moment voor de EU om te evalueren wat er wel en niet werkt, zodat we stap voor stap dichter in de buurt komen van een optimale balans tussen innovatie, het recht op privacy en het vertrouwen van mensen in technologiebedrijven.