Authors: Marloes de Bruin & Riesa van Doorn
Vandaag is het 4 jaar geleden dat de AVG (GDPR) zijn intrede heeft gedaan. Dit bracht voor vele organisaties chaos met zich mee omdat het voor veel organisaties niet meteen duidelijk was wat er op hen af kwam. Veel nieuwe regels en aanpassingen, dat was zeker. Hoewel nog niet elke organisatie na vier jaar de AVG volledig naleeft (in hoeverre dat zelfs mogelijk is), hebben de meeste zich door de jaren heen goed weten aan te passen. Maar wat heeft de AVG ons in 4 jaar eigenlijk gebracht?
1. Groei van EER-leveranciers
Vier jaar geleden hadden organisaties veel vrijheid bij het kiezen van leveranciers om mee in zee te gaan. Met de komst van de AVG zijn ze echter bewuster gaan kijken naar de geografische locatie van hun leveranciers. Die locatie kan immers mogelijk grote gevolgen hebben. De AVG stelt dat wanneer persoonsgegevens binnen de Europese Economische Ruimte (hierna ‘EER’) worden verwerkt, er geen aanvullende regels gelden. Kiezen voor een leverancier buiten de EER kan echter iets ingewikkelder zijn, en soms zelfs illegaal. Een belangrijk voorbeeld is het besluit van de Datenschutzbehörde (“DSB”, de Oostenrijkse autoriteit voor gegevensbescherming) van 2021, waarbij het gebruik van Google Analytics onwettig werd geacht. Internationale gegevensoverdrachten van de EER naar de VS vallen onder de AVG-regels. Zonder Privacy Shield kunnen de VS echter niet garanderen dat zij persoonsgegevens voldoende beschermen, noch dat zij dit op passende wijze doen, waardoor het gebruik van in de VS-gebaseerde cloud hostingproviders (zoals Google en Google Analytics), voor in de EER-gevestigde bedrijven illegaal wordt. Hierdoor kiezen EER-bedrijven vaker voor Cloud hosting leveranciers binnen de EER zelf. Een belangrijk gevolg hiervan is een positief effect op deze leveranciers. Niet alleen hebben zij hun marktaandeel aanzienlijk vergroot, zij zijn ook volwassener geworden op het gebied van privacy- en gegevensbescherming, én hebben zich zo ontwikkeld tot een sterke concurrentiekracht voor hun tegenhangers uit de VS
2. Politieke stap voor de EU
Met de komst van de AVG, heeft de Europese Unie een stap voorwaarts gemaakt in het klaarmaken van organisaties voor de toekomst. Steeds meer organisaties wensen datagedreven te werken. Data wordt niet voor niets het ‘nieuwe goud’ genoemd. Organisaties verzamelen véél data, vaak ook persoonsgegevens. Deze mochten echter niet meer zomaar gedeeld worden met organisaties buiten de EER. Dit heeft ervoor gezorgd dat landen overal ter wereld de EU gevolgd hebben in hun ontwerpen en implementeren van een soortgelijke wetgeving.Denk hierbij aan de LGPD uit Brazilië, Wet op de bescherming van persoonsgegevens uit Japan en de Canadese Digital Charter Implementation Act. De EU heeft zich door de AVG op sterke positie gezet op het politieke wereldtoneel.
Deze machtspositie van de EU is echter door de oorlog in Oekraïne minder sterk geworden. Door de Europese afhankelijkheid van de VS in het kader van defensie en gas bijvoorbeeld, dienen er concessies te worden gemaakt op onderwerpen zoals gegevensbescherming.Nieuwe wetgeving zoals Digitals Services Act, en de Digital Markets Act zijn niets voor niets gericht op de Europese digitale soevereiniteit en de sterke afhankelijkheid van grote big data en Tech spelers.
3. Meer data bewust als burger
Data heeft een steeds grotere invloed op ons handelen en ons leven (of we dat u doorhebben of niet). Steeds meer organisaties verwerken dagelijks allerlei data maar ook thuis maken we steeds meer gebruik van gloednieuwe technologieën om het leven makkelijker, sneller en efficiënter te maken. Waar sommige mensen het liever houden bij hun oude, betrouwbare Nokia 3310, kunnen anderen niet wachten om alle slimme apparaten en toepassingen te installeren om het leven nog makkelijker te maken. Van apps, smartwatches, smartphones, smart homes of zelfs smart cities, innovatie en ontwikkeling met data zorgt voor een ander (gemakkelijker?) leven.
Hoewel de AVG aan het begin nog weinig naamsbekendheid had bij burgers, laat de Global Privacy Monitor 2022 zien dat de bekendheid in 2022 ten opzichte van 2018 is verdubbeld. Privacyzorgen bij burgers dalen en het delen van data wordt gezien als een cruciaal onderdeel van het participeren in de samenleving en economie. Veel mensen delen data wanneer ze er iets voor terug krijgen zoals bepaalde service of diensten, en bijna de helft van de burgers deelt enkel data aan organisaties die zij vertrouwen. Kanttekening is hier wel dat we bijna allemaal online zonder te lezen allerlei cookies en privacyverklaringen accepteren. Toch worden we ons bewuster van onze rechten op het gebied van het delen van data en wat dit voor impact heeft op ons als individu.
4. Meer controle over digitale landschap als organisatie
Organisaties met veel data hebben moeite om controle te krijgen over hun digitale landschap. Zeker binnen het thema data is er binnen grote organisaties vaak sprake van verzuiling. Er is iemand verantwoordelijk voor privacy en iemand voor informatiebeveiliging, dan nog niet te spreken over de andere datagerelateerde functies zoals data analisten, informatiebeheer, data stewards,… Medewerkers die enthousiast aan een nieuw project willen beginnen, moeten eerst overal advies vragen voordat ze daadwerkelijk aan de slag kunnen. En hoewel dit beter georganiseerd kan worden, hebben organisaties wel steeds vaker nagedacht over het gebruik van persoonsgegevens. In veel gevallen heeft dat geleid tot beslissingen zoals het bewaren of hergebruik van gegevens en meer overzicht gecreëerd in wat voor data we eigenlijk in huis hebben. Er wordt bewuster met deze gegevens omgegaan en er is meer controle over wat we er mee doen.
What the future brings…
… is nog een mysterie. Stap voor stap worden alle onduidelijkheden weggewerkt en komen er duidelijkere regels. Om voor de juiste cultuur en mindset te zorgen is er nog veel overleg en bewustwording nodig, toch weten we allemaal dat aandacht voor gegevensbescherming en informatiebeveiliging niet iets tijdelijk iets. Net zoals kwaliteitsbeheer, digitaal werken en duurzaamheid, worden deze onderwerken langzaam maar zeker geborgd in onze manier van werken. Vernieuwende en veranderende technologieën brengen ongetwijfeld een grote uitdaging met zich mee, waar ook de AVG door zal blijven evolueren. Happy Birthday AVG! Op naar het vijfde jaar AVG. Benieuwd wat dat brengt.