Geschreven door: Roxana Lemaire

De GDPR is net zoals wijn, hoe ouder hoe beter. Net zoals wijn verbetert met de leeftijd, verbetert ook de GDPR.

Vandaag vieren we Data Privacy Day! Dit lijkt ons dan ook het perfecte moment om terug te blikken op het ontstaan van Data Privacy Day: de Algemene Verordening Gegevensbescherming (AVG), ook wel bekend als de GDPR.

Hoe het allemaal begon: de Richtlijn Gegevensbescherming (1995)

Toen de wereld van het internet nog in zijn kinderschoenen stond, was dit ook het geval voor de richtlijn gegevensbescherming (Richtlijn 95/46/EG). Zelfs in zijn beginjaren, was de richtlijn bindend binnen de EU-lidstaten. De richtlijn regelde hoe persoonsgegevens in de Europese Unie werden verzameld en verwerkt, en het beschermde personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van die gegevens.

Volgende stappen: advies van de EDPS (2011)

Na 16 jaar stilzwijgen heeft de European Data Protection Supervisor (hierna EDPS genoemd) op 22 juni 2011 een advies gepubliceerd met de titel “A comprehensive approach on personal data protection in EU“. Het doel van deze mededeling was de aanpak van de Commissie vast te leggen om het rechtsstelsel van de EU voor de bescherming van persoonsgegevens op alle gebieden van de activiteiten van de Unie te herzien, met name gezien de uitdagingen van de mondialisering en de nieuwe technologieën. Het doel? Verdere ontwikkeling van het rechtskader inzake gegevensbescherming, met inbegrip van gegevensverwerking door EU-instellingen en -organen.

Van advies tot voorstel (2012)

Na de Communicatie is  de bal echt gaan rollen.  Een jaar later, januari 2012, schreef de Europese Commissie een voorstel om de EU-regels inzake gegevensbescherming te hervormen door de onlineprivacyrechten te versterken en de digitale economie van Europa te stimuleren.

Vervolgens brengt de EDPS op 7 maart een advies uit over het hervormingspakket voor gegevensbescherming van de Commissie. In dit advies plaatst de EDPS vraagtekens bij de relatie tussen het EU- en het nationale recht, alsook bij andere punten van zorg, zoals de doorgifte van gegevens aan derde landen, administratieve sancties en beperkingen van de basisbeginselen en -rechten.

Twee weken later, op 23 maart, brengt de Article 29 Working Party (hierna WP29 genoemd) ook een advies over het voorstel tot hervorming van de gegevensbescherming. In het advies gaat de WP29 in op het gebrek aan regelgeving voor het verzamelen en doorgeven van gegevens door particuliere partijen of overheidsinstanties die geen rechtshandhavingsinstantie zijn, evenals het daaropvolgende gebruik van gegevens door deze instanties.

Na enkele maanden, op 5 oktober, heeft de WP29 in een advies verdere informatie verstrekt over de hervorming van de gegevensbescherming. Het advies diende om het Europees Parlement en de Raad te adviseren over belangrijke concepten inzake gegevensbescherming, zoals persoonsgegevens en toestemming.

De volgende mijlpaal: Het Europees Parlement keurt de GDPR goed (2014)

Two years after that, on March 12, 2014, we were good on our way to reach a milestone: the European Parliament adopts GDPR. The EP agreed on a heavily amended text that aimed at allowing data subject to exercise their rights and increased the accountability for processors of data. Hereafter, the EP demonstrated strong support for GDPR in a plenary vote with 621 votes in favour, 10 against, and 22 abstentions.

De start van een algemene overeenkomst (2015)

Een jaar later, 15 juni 2015, kwam de Raad tot een algemene oriëntatie over de GDPR. Er werd een politiek akkoord bereikt, zodat de onderhandelingen met het Europees Parlement konden beginnen om tot een algemeen akkoord over de nieuwe EU-regels inzake gegevensbescherming te komen. De eerste trialoog was gepland voor 24 juni.

Na de trialoog publiceerde de EDPS  op 27 juli zijn aanbevelingen en onderhandelde hij over de definitieve tekst van de GDPR in een ontwerp van suggesties. Het advies was een oefening in transparantie en verantwoording, zodat de wetgevingsvorm enerzijds een transparant proces zou zijn. Anderzijds ging de EDPS in op de onevenwichtigheid tussen innovatie in de bescherming van persoonsgegevens en de exploitatie ervan om te zorgen voor effectieve waarborgen in onze gedigitaliseerde samenleving. Daarnaast lanceerde de EDPS een mobiele app waarmee het voorstel van de Commissie werd vergeleken met de meest recente teksten van het Parlement en de Raad.

Op 15 december 2015 kwam de kerstman wat vroeger dan we gewend zijn en bracht hij on shet volgende cadeau: : de Europese Raad, het Parlement en de commissie bereikten een akkoord over de hervorming van de gegevensbescherming. Volgens de voorzitter van de Raad versterkt de hervorming de rechten van de burger, terwijl de regels voor bedrijven worden aangepast aan het digitale tijdperk, en de administratieve lasten ook verminderd worden.

Een actieplan als basis voor GDPR (2016)

Een nieuw jaar betekent een nieuw begin en nieuwe acties! In het licht van de overeenkomst over de hervorming van de gegevensbescherming heeft de WP29 een actieplan uitgegeven om de GDPR te implementeren. Het actieplan bestaat uit richtsnoeren, instrumenten en procedures om het nieuwe rechtskader in de eerste helft van 2018 in werking te laten treden. In de zomer van 2016  werd Verordening 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens aangenomen, waarbij Richtlijn 95/46/EG werd opgeheven.

De GDPR treedt eindelijk in werking (2016-2018)

26 mei 2016. Een belangrijke dag voor alle internetgebruikers, en een mijlpaal voor de EU. De GDPR treedt eindelijk in werking nadat deze op 6 mei in het Publicatieblad van de EU is gepubliceerd. Maar, we weten ook allemaal dat verbetering essentieel is.

Op 10 januari 2017 kwam de Europese Commissie met een nieuw voorstel om de bestaande regels te verbeteren en uit te breiden naar alle aanbieders van elektronische communicatie. Het doel was de online bescherming van ons privéleven te verbeteren en nieuwe kansen voor bedrijven te creëren.

Na het eerste voorstel was het tijd voor de lidstaten om de gegevensbeschermingsrichtlijn voor de politie- en justitiële sector om te zetten in nationale wetgeving. Deze was van toepassing vanaf 6 mei 2018. De richtlijn voor de politiële en justitiële sector, ook bekend als de rechtshandhavingsrichtlijn (LED), beschermt de persoonsgegevens van personen die betrokken zijn bij strafrechtelijke procedures, maar vergroot ook het vertrouwen en vergemakkelijkt de samenwerking door de bescherming van persoonsgegevens door rechtshandhavingsinstanties in de EU, de lidstaten en de Schengenlanden te harmoniseren.

Enkele dagen later werd een voorstel ingediend voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens.

Er werd al heel wat verwezenlijk, happy Privacy Day!

Dit toont aan dat de GDPR een lange weg heeft afgelegd sinds het eerste voorstel in de jaren 90. Na bijna 30 jaar van continue ontwikkeling en verbetering is de GDPR op 25 mei 2018 eindelijk in werking getreden, wat een belangrijke mijlpaal in de geschiedenis van de gegevensbescherming markeert.

De verordening is nu bedoeld om EU-burgers meer controle te geven over hun persoonsgegevens en om de wetgeving inzake gegevensbescherming in de hele EU te harmoniseren. De verordening heeft aanzienlijke impact gehad op bedrijven en organisaties, zowel in de EU als wereldwijd, aangezien zij aanzienlijke wijzigingen in hun gegevensbeschermingspraktijken hebben moeten aanbrengen om aan de nieuwe regels te voldoen.

De GDPR heeft een cruciale rol gespeeld in de manier waarop we denken over, en omgaan met persoonsgegevens, en zal de toekomst van gegevensbescherming de komende jaren blijven bepalen.  Er is nog veel werk aan de winkel voor zowel regelgevers als gegevensverwerkers, maar één ding is zeker: de GDPR is een blijver.