25 mei 2018. Menig multinational, mkb’er en overheidsinstantie had deze datum als een soort D-Day te boek staan in diens agenda: de dag dat de Algemene Verordening Gegevensbescherming (AVG) van toepassing werd. Waar komt deze ontwikkeling ook alweer vandaan, hoe staan we er vandaag de dag voor en wat voorspelt een voorzichtige blik in de toekomst?
Waar komen we vandaan?
In Europa dateert het fundamentele recht op bescherming van de privésfeer uit 1950, toen het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (het EVRM) werd gesloten. Het Europese Hof dat deze rechten waarborgt, heeft in de loop der jaren een brede interpretatie gegeven aan wat precies onder die privésfeer valt, maar ook wat er niet onder valt. Mensenrechten zijn namelijk niet absoluut en vereisen altijd een afweging tegen andere rechten en belangen.
In het kader van toenemende vragen omtrent privacy en persoonlijke gegevens in Europa, publiceerde de Organisation for Economic Co-operation and Development (OECD) in 1980 haar Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. Hoewel de richtlijnen juridisch niet-bindend waren, introduceerden ze een aantal principes die we vandaag nog terugzien in de AVG, waaronder de vereisten van rechtmatigheid, transparantie en doelbinding en het recht van de betrokkene op informatie.
In 1995 werd de daad bij het woord gevoegd door de totstandkoming van Europese regelgeving. Richtlijn 95/46/EG was zodoende specifiek gericht op de bescherming van persoonsgegevens. Nederland gaf in 2001 invulling aan de Richtlijn middels de welbekende Wet bescherming persoonsgegevens. Met het oog op technologische ontwikkelingen en grote verschillen tussen lidstaten die het vrije verkeer binnen Europa belemmerden, werd er sinds 2009 gekeken naar oplossingen om gegevensbescherming in heel Europa uniform te regelen. Het heeft even mogen duren, maar in 2016 was dan eindelijk de tekst van de AVG definitief, waarna deze op 25 mei 2018 in werking trad.
Waar staan we?
Anno 2019 spelen er natuurlijk hele andere vragen dan in 1950. Leuzen als ‘data is the new gold’ en ‘if the product is free, you are the product’ doen zich tegenwoordig de ronde. In hoeverre heb je namelijk privacy als je door de winkelstraat loopt (lees: wifi-tracking), wanneer je in de trein even op je smartphone kijkt (welke vrijwel onlosmakelijk is verbonden met de datagraaiers van deze wereld) of als je ’s avonds laat nog even je hardloopschoenen aantrekt (om je prestaties te meten en te delen met je nieuwe smartwatch en bijbehorende app)?
Voor elk aspect van ons leven ligt er wel een digitaal ‘hulp’middel in de markt dat speciaal voor ons het leven een klein stukje makkelijker zou maken. Wel onder de spreekwoordelijke voorwaarde dat je eerst de app downloadt, een account aanmaakt en je gegevens 24/7 deelt met niet nader gespecificeerde derden in Verweggistan. Daarnaast zijn datalekken, zoals ik laatst schreef, aan de orde van de dag en valt er bij menige organisatie nog wel het een en ander te halen op het gebied van informatiebeveiliging.
Dit klinkt wellicht wat pessimistisch, maar de ontwikkeling van privacyvriendelijke producten staat natuurlijk ook niet stil. De mensen beseffen daarnaast steeds meer welke risico’s er spelen bij het online delen van verscheidene aspecten van hun leven. Organisaties mogen bovendien op regelmatige basis inzage-, en verwijderingsverzoeken verwachten. In de commerciële sferen verwachten bedrijven ook dat hun leveranciers kunnen voldoen aan de privacywet. Compliance levert hierdoor ook voordelen op. Daarnaast merkt ook de toezichthouder, de Autoriteit Persoonsgegevens, dat de awareness bij de burger is toegenomen gelet op het aantal privacyklachten dat de AP ontving.
Ook bij onze westerburen, aan de andere kant van oceaan, wordt de roep om een uniforme aanpak omtrent privacy steeds groter. Recentelijk hebben 51 CEO’s van enkele van ’s werelds grootste bedrijven hun krabbel gezet onder een brief aan het Amerikaanse Congres, waarin zij pleiten voor een federale privacywet. De brief gaat vergezeld met een aantal speerpunten die zij graag terug willen zien, welke toch wel iets weg hebben van onze AVG. Het hoofddoel is vermoedelijk om diens wereldwijde koppositie in de markt te behouden, maar als de privacy van de Amerikaanse consument hiermee beschermd wordt, is dat natuurlijk mooi meegenomen.
Aan de andere kant van de wereld loopt het nog niet zo hard van stapel. Technologische ontwikkelingen gaan weliswaar als een lopend vuurtje, maar de privacy van de burger lijkt, althans in sommige landen, geen rol te spelen. Zo zijn er in China 1984-achtige praktijken gaande, waar het sociaal kredietsysteem klaarstaat om in 2020 in het hele land ingevoerd te worden. Een ontwikkeling die nog wel eens wordt vergeleken met Black Mirror’s Nosedive aflevering.
Dat geldt gelukkig niet voor Azië als geheel. Japan is inmiddels adequaat bevonden door de Europese Commissie, en ook Zuid-Korea staat op de planning. Daarnaast heeft de Asia-Pacific Economic Cooperation haar eigen Cross Border Privacy Rules framework geïmplementeerd, om het op privacy gefocuste Westen te laten zien het onderwerp ook serieus te nemen. Hier komen welbekende onderwerpen als de verantwoordingsplicht, integriteit, doelbinding, beveiliging en de rechten van toegang en correctie in terug.
Waar gaan we naartoe?
Toen de AVG in werking trad, uitten sceptici meteen kritiek dat de wet alweer verouderd zou zijn. Haar uitgangspunt is echter technologieneutraliteit, hetgeen bedoeld is om juist toekomstbestendig te zijn door ruimte te laten voor interpretatie. In mijn dagelijkse praktijk kom ik alleen vaak genoeg casus tegen die heel wat complexer liggen dan de essentiële uitgangspunten van de AVG en hierdoor niet zomaar te interpreteren zijn. Denk bijvoorbeeld aan de rolverdeling wanneer allerlei derde partijen op de (technische) achtergrond spelen en gegevens aan elkaar doorgeven en wie zodoende bepaalde rechten en plichten heeft. Ander voorbeeld: het behouden van grip op verwerkingen in lange, wereldwijde ketens. Privacy is bovendien niet iets dat nu, eenmalig aangepakt moet worden. Juist op het pad dat technologische ontwikkelingen bewandelen dient privacy altijd in het achterhoofd te worden gehouden. De mens blijft immers centraal staan.
