3 jaar AVG - wachten op de tanden van de tijger

 27 mei 2021 | Nieuws | NL Law

De tijd dat Nederland, en de rest van de EU, zich opmaakte voor de komst van de Algemene verordening gegevensbescherming (‘AVG’) lijkt alweer een eeuwigheid geleden. Toch is dat deze maand pas drie jaar geleden dat de AVG in werking trad. Hoewel de AVG voor meer privacy awareness heeft gezorgd onder burgers en organisaties, zijn er toch ook minder positieve ontwikkelingen te benoemen. In deze blog zullen wij een aantal van deze problemen bespreken.

  1. Harmonisatie binnen de EU?

Voor de komst van de AVG waren Europese privacyregels vervat in een richtlijn. De AVG is, anders dan haar voorganger, een verordening. Deze vorm van wetgeving leidt doorgaans tot harmonisatie in de EU; gelijke regels in elke lidstaat. De verplichtingen opgenomen in de AVG dienen immers – anders dan bij een richtlijn – rechtstreeks door te werken in nationale wetgeving. Daarnaast is er in de AVG maar beperkte ruimte voor nationaalrechtelijke afwijkingen.

Ondanks dat alle lidstaten uitgaan van een gelijke set regels, zijn er naar mate er meer handhavingsacties worden gestart ook steeds meer verschillen zichtbaar. Niet alleen worden bepaalde begrippen door verschillende autoriteiten op verschillende wijzen uitgelegd, ook lijkt er een groot verschil te zijn tussen de hoogten van boetes die worden uitgedeeld. Zo lijkt de Nederlandse Autoriteit Persoonsgegevens (‘AP’) een vrij strikte interpretatie te hanteren van het begrip “gerechtvaardigd belang”, terwijl het niet duidelijk is of de andere toezichthouders dit ook zo zien. De AP hanteert aan de andere kant echter vrij bescheiden boetebeleidsregels met EUR 1.000.000,- als hoogste uiterste van een bandbreedte (afwijkingen bij uitzonderingen daargelaten), terwijl de Franse CNIL in 2019 niet schroomde om Google een boete van EUR 50.000.000,- op te leggen. Daarnaast lijkt de ene autoriteit een stuk “actiever” dan de andere, wat maakt dat boeterisico’s voor organisaties in de ene lidstaat mogelijk meer aanwezig zijn dan in de andere. Zo heeft de Spaanse Agencia Española Protección Datos al meer dan 220 boetes opgelegd, terwijl de teller in België op 25 staat.

Wat dat betreft is er dus nog wel wat werk aan de winkel, bijvoorbeeld voor de European Data Protection Board; de groep waarin alle nationale autoriteiten deelnemen en richting geven aan de AVG.

  1. De EU vs ‘de rest’

De AVG heeft de EU een robuust privacyframework gebracht. De EU lijkt daarmee een voorloper op veel andere landen in de wereld; niet overal kent het recht op privacy een betekenis zoals in de EU. Om die reden is de uitwisseling van persoonsgegevens naar landen buiten de EU (‘derde landen’) slechts in beperkte gevallen mogelijk. Alleen wanneer één van de voorgeschreven passende waarborgen kan worden genomen, is de doorgifte toegestaan. We zien echter steeds meer twijfel bestaan over de vraag of bestaande waarborgen wel zo passend zijn, te meer omdat wetgeving in die derde landen achter blijft lopen. Zo heeft het Europese Hof van Justitie (‘HvJEU’) het doorgeef-mechanisme tussen de EU en VS – de zogenoemde Safe Harbor Principles – in 2015 al ongeldig verklaard. Diens opvolger – Privacy Shield – is vorige zomer echter ook als niet passend bevonden. Daarnaast heeft het HvJEU ook vraagtekens geplaatst bij de mate van bescherming die Standard Contractual Clauses, de meest gebruikte waarborg, kunnen bieden.

De vraag die nu voor ligt is “hoe nu verder?”. Vergaande beperkingen op de uitwisseling van persoonsgegevens, vooral met landen waar veel IT-dienstverleners zich bevinden, lijkt in de gedigitaliseerde en geglobaliseerde wereld waar we ons nu in bevinden geen reële optie. Anderzijds mag het feit dat landen om ons heen een mindere mate van bescherming kunnen bieden ook geen reden zijn om onze Europese privacystandaarden te verlagen. Ook hier is dus nog veel behoefte aan handvatten.

  1. De capaciteit van de autoriteiten

De AP kampt al jaren met een capaciteitsprobleem en heeft hierover al diverse keren aan de bel getrokken. Eerder deze week bracht de AP een position paper uit, waarin de AP benadrukt dat een vergroting van haar capaciteit noodzakelijk is voor burgers, het bedrijfsleven en vertrouwen in de overheid. Er wordt door de AP een groeipad geschetst naar 470 fte in 2025. Op dit moment heeft de AP 184 fte.

Het huidige budget van de AP zorgt ervoor dat zij niet kan voldoen aan haar wettelijke taak als toezichthouder en zij niet toekomt aan de uitvoering van haar strategische prioriteiten, aldus de AP. Andere voorbeelden die de AP in haar position paper noemt als gevolg van het gebrek aan capaciteit:

  • datalekmeldingen krijgen te weinig opvolging: slechts 0,15% leidt tot onderzoek;
  • 9800 klachten liggen op de plank en de wachttijd voordat de AP een klacht in behandeling kan nemen bedraagt zes maanden;
  • er is onvoldoende capaciteit om boetes en andere sancties op te leggen;
  • de AP doet te weinig verplichte onderzoeken naar grootschalige Europese informatiesystemen waarin gegevens van politie en justitie worden gedeeld;
  • toezicht op algoritmes die persoonsgegevens komt niet van de grond.

Zoals eerder aangegeven, heeft de EU met de AVG een robuust privacyframework. Het hebben van een stevig privacyframework is echter niet voldoende. Net zo belangrijk is dat burgers de rechten die hen toekomen op grond van de AVG effectief kunnen uitvoeren en de AP handhavend kan optreden. Met de huidige capaciteit van de AP lijkt dat niet mogelijk.

De AP is niet de enige toezichthouder die met een capaciteitsprobleem kampt. Eerder deze week kwam naar voren dat de Ierse privacy toezichthouder, die door het onestopshop-mechanisme fungeert als leidende toezichthouder voor vrijwel alle grote techbedrijven, onvoldoende capaciteit heeft om alle (grensoverschrijdende) onderzoeken uit te voeren, zo stellen critici.

Deze ontwikkelingen zijn zorgwekkend te noemen. Het capaciteitsprobleem van autoriteiten kan leiden tot een verminderde meldingsbereidheid van burgers en organisaties. Ook kan het uiteindelijk gevolgen hebben voor de privacy-awareness en -compliance van burgers en organisaties, doordat slechts een zeer klein percentage van de klachten, gemelde overtredingen en datalekmeldingen gevolg krijgt.

Ondanks dat de AVG dus een solide basis kan bieden, moeten er na drie jaar dus nog wel wat stappen gezet worden om uit te groeien tot die Europese tijger mét tanden.

De tijd dat Nederland, en de rest van de EU, zich opmaakte voor de komst van de Algemene verordening gegevensbescherming (‘AVG’) lijkt alweer een eeuwigheid geleden. Toch is dat deze maand pas drie jaar geleden dat de AVG in werking trad. Hoewel de AVG voor meer privacy awareness heeft gezorgd onder burgers en organisaties, zijn er toch ook minder positieve ontwikkelingen te benoemen. In deze blog zullen wij een aantal van deze problemen bespreken.

  1. Harmonisatie binnen de EU?

Voor de komst van de AVG waren Europese privacyregels vervat in een richtlijn. De AVG is, anders dan haar voorganger, een verordening. Deze vorm van wetgeving leidt doorgaans tot harmonisatie in de EU; gelijke regels in elke lidstaat. De verplichtingen opgenomen in de AVG dienen immers – anders dan bij een richtlijn – rechtstreeks door te werken in nationale wetgeving. Daarnaast is er in de AVG maar beperkte ruimte voor nationaalrechtelijke afwijkingen.

Ondanks dat alle lidstaten uitgaan van een gelijke set regels, zijn er naar mate er meer handhavingsacties worden gestart ook steeds meer verschillen zichtbaar. Niet alleen worden bepaalde begrippen door verschillende autoriteiten op verschillende wijzen uitgelegd, ook lijkt er een groot verschil te zijn tussen de hoogten van boetes die worden uitgedeeld. Zo lijkt de Nederlandse Autoriteit Persoonsgegevens (‘AP’) een vrij strikte interpretatie te hanteren van het begrip “gerechtvaardigd belang”, terwijl het niet duidelijk is of de andere toezichthouders dit ook zo zien. De AP hanteert aan de andere kant echter vrij bescheiden boetebeleidsregels met EUR 1.000.000,- als hoogste uiterste van een bandbreedte (afwijkingen bij uitzonderingen daargelaten), terwijl de Franse CNIL in 2019 niet schroomde om Google een boete van EUR 50.000.000,- op te leggen. Daarnaast lijkt de ene autoriteit een stuk “actiever” dan de andere, wat maakt dat boeterisico’s voor organisaties in de ene lidstaat mogelijk meer aanwezig zijn dan in de andere. Zo heeft de Spaanse Agencia Española Protección Datos al meer dan 220 boetes opgelegd, terwijl de teller in België op 25 staat.

Wat dat betreft is er dus nog wel wat werk aan de winkel, bijvoorbeeld voor de European Data Protection Board; de groep waarin alle nationale autoriteiten deelnemen en richting geven aan de AVG.

  1. De EU vs ‘de rest’

De AVG heeft de EU een robuust privacyframework gebracht. De EU lijkt daarmee een voorloper op veel andere landen in de wereld; niet overal kent het recht op privacy een betekenis zoals in de EU. Om die reden is de uitwisseling van persoonsgegevens naar landen buiten de EU (‘derde landen’) slechts in beperkte gevallen mogelijk. Alleen wanneer één van de voorgeschreven passende waarborgen kan worden genomen, is de doorgifte toegestaan. We zien echter steeds meer twijfel bestaan over de vraag of bestaande waarborgen wel zo passend zijn, te meer omdat wetgeving in die derde landen achter blijft lopen. Zo heeft het Europese Hof van Justitie (‘HvJEU’) het doorgeef-mechanisme tussen de EU en VS – de zogenoemde Safe Harbor Principles – in 2015 al ongeldig verklaard. Diens opvolger – Privacy Shield – is vorige zomer echter ook als niet passend bevonden. Daarnaast heeft het HvJEU ook vraagtekens geplaatst bij de mate van bescherming die Standard Contractual Clauses, de meest gebruikte waarborg, kunnen bieden.

De vraag die nu voor ligt is “hoe nu verder?”. Vergaande beperkingen op de uitwisseling van persoonsgegevens, vooral met landen waar veel IT-dienstverleners zich bevinden, lijkt in de gedigitaliseerde en geglobaliseerde wereld waar we ons nu in bevinden geen reële optie. Anderzijds mag het feit dat landen om ons heen een mindere mate van bescherming kunnen bieden ook geen reden zijn om onze Europese privacystandaarden te verlagen. Ook hier is dus nog veel behoefte aan handvatten.

  1. De capaciteit van de autoriteiten

De AP kampt al jaren met een capaciteitsprobleem en heeft hierover al diverse keren aan de bel getrokken. Eerder deze week bracht de AP een position paper uit, waarin de AP benadrukt dat een vergroting van haar capaciteit noodzakelijk is voor burgers, het bedrijfsleven en vertrouwen in de overheid. Er wordt door de AP een groeipad geschetst naar 470 fte in 2025. Op dit moment heeft de AP 184 fte.

Het huidige budget van de AP zorgt ervoor dat zij niet kan voldoen aan haar wettelijke taak als toezichthouder en zij niet toekomt aan de uitvoering van haar strategische prioriteiten, aldus de AP. Andere voorbeelden die de AP in haar position paper noemt als gevolg van het gebrek aan capaciteit:

  • datalekmeldingen krijgen te weinig opvolging: slechts 0,15% leidt tot onderzoek;
  • 9800 klachten liggen op de plank en de wachttijd voordat de AP een klacht in behandeling kan nemen bedraagt zes maanden;
  • er is onvoldoende capaciteit om boetes en andere sancties op te leggen;
  • de AP doet te weinig verplichte onderzoeken naar grootschalige Europese informatiesystemen waarin gegevens van politie en justitie worden gedeeld;
  • toezicht op algoritmes die persoonsgegevens komt niet van de grond.

Zoals eerder aangegeven, heeft de EU met de AVG een robuust privacyframework. Het hebben van een stevig privacyframework is echter niet voldoende. Net zo belangrijk is dat burgers de rechten die hen toekomen op grond van de AVG effectief kunnen uitvoeren en de AP handhavend kan optreden. Met de huidige capaciteit van de AP lijkt dat niet mogelijk.

De AP is niet de enige toezichthouder die met een capaciteitsprobleem kampt. Eerder deze week kwam naar voren dat de Ierse privacy toezichthouder, die door het onestopshop-mechanisme fungeert als leidende toezichthouder voor vrijwel alle grote techbedrijven, onvoldoende capaciteit heeft om alle (grensoverschrijdende) onderzoeken uit te voeren, zo stellen critici.

Deze ontwikkelingen zijn zorgwekkend te noemen. Het capaciteitsprobleem van autoriteiten kan leiden tot een verminderde meldingsbereidheid van burgers en organisaties. Ook kan het uiteindelijk gevolgen hebben voor de privacy-awareness en -compliance van burgers en organisaties, doordat slechts een zeer klein percentage van de klachten, gemelde overtredingen en datalekmeldingen gevolg krijgt.

Ondanks dat de AVG dus een solide basis kan bieden, moeten er na drie jaar dus nog wel wat stappen gezet worden om uit te groeien tot die Europese tijger mét tanden.