5-jaar AVG/GDPR: er is nog genoeg werk aan de winkel!

Op 25 mei 2023 is de AVG/GDPR 5 jaar van toepassing. Naast dat de EU een wereldwijde dataprotectie standaard heeft neergezet, hebben andere continenten een privacy verordening ontwikkeld en komen er nieuwe Acts rondom data, AI en ethiek aan. Maar wat heeft 5 jaar AVG/GDPR opgeleverd, heeft het haar doel bereikt, wat gaat goed en wat zou beter moeten? We vroegen het aan een aantal dataprotectie experts. Lees hieronder hun gedachten. 

Op 25 mei 2023 bestaat de AVG/GDPR 5 jaar. Wat is het beste wat deze Verordening heeft gebracht? 

 Jean Paul van Schoonhoven, FG, hoofddocent PO2.0, FG, SPP-opleiding, managing partner L2P 

Het beste van de AVG is dat deze het onderwerp gegevensbescherming definitief op de kaart heeft gezet. 

Nico Keijser, FG, hoofddocent CDPO-opleiding, Keijser Consultancy 

De AVG heeft zowel bij burgers als bij bedrijven een beter besef van de juiste omgang met persoonsgegevens gebracht. Voor burgers, of beter gezegd voor iedere betrokkene in relatie tot een verwerkingsverantwoordelijke, is de mediastorm waarmee destijds de AVG werd aangekondigd, een bron geweest om zich beter te informeren over de juiste omgang met persoonsgegevens. Daarvan zien we als resultaat dat betrokkenen zich roeren. 

Voor bedrijven, de verwerkingsverantwoordelijken, is het aanleiding om de verplichtingen uit de AVG, die eigenlijk meest ook al bestonden onder eerdere privacywetgeving, nog weer eens onder de loep te nemen en aan te vullen, of op dat moment voor het eerst in te vullen. Vanzelfsprekend is de verantwoordingsplicht daarvoor een belangrijke aanjager. Het aantal en omvang van de nu (wel) gemelde datalekken geven het besef dat het somtijds met de beveiliging niet altijd even goed gesteld is. Tegelijkertijd heeft het als resultaat dat dat meer aandacht voor inrichting van technische en organisatorische maatregelen tot gevolg heeft. Op termijn zal het beter worden. 

Marlon Domingus, FG, Lead AI@EUR, Erasmus Universiteit Rotterdam (EUR) 

Een hogere organisatievolwassenheid in sectoren die nog niet gereguleerd waren zoals banken en finance. Om AVG/GDPR compliant te zijn dient een organisatie een volwassenheidsniveau van 3 (CMMI) te hebben. Wat zijn de processen, wie is de proceseigenaar, wie onderhouden het risico-register, wie bepaalt de risico mitigerende maatregelen, hoe is beleid in processen vertaald, wie ziet toe op naleving beleid, etc etc.

Op al deze domeinen is bij organisaties vooruitgang geboekt; namelijk randvoorwaardelijk voor niet alleen AVG compliancy, maar voor corporate accountability. In mijn organisatie is een waardegestuurde aanpak gekoppeld aan bovenstaande vraagstukken. Dat creëert een ander type organisatie. In mijn ogen om verschillende reden een verbetering. Voorwaarde is dat de AVG niet als een vinkenexercitie wordt gezien, maar als een appèl op de accountability. 

Wat is het minste wat deze Verordening heeft gebracht? 

Jean Paul van Schoonhoven, FG, hoofddocent PO2.0, FG, SPP-opleiding, managing partner L2P 

Dat er ook veel misverstanden zijn ontstaan over de reikwijdte van de wet en hoe je deze zou moeten toepassen. Dit leidt er toe dat er soms sprake is van een verkramping rondom vraagstukken die met gegevensuitwisseling te maken hebben.

Marlon Domingus, FG, Lead AI@EUR, Erasmus Universiteit Rotterdam (EUR)  

Het kennelijke onvermogen om zelfregulering binnen de sector voortvarend op te pakken is wat mij betreft zichtbaar geworden. Logisch gezien profiteert iedereen in de sector als namens en vanuit de sector vangrails en praktische kaders worden gedefinieerd, maar gebrek aan governance binnen een sector leidt tot inertie. Het speelt op aspecten met betrekking tot risico-identificatie, het classificeren van risico’s en het identificeren van mitigerende maatregelen, maar ook met betrekking tot rollen en verantwoordelijkheden. Vaak nemen stakeholders hun rol niet, maar gaan ze andere stakeholders vertellen wat die zouden moeten doen. Zeg maar CMMI volwassenheid 1 of 2.   

Heeft de AVG/GDPR haar oorspronkelijke doel (oa privacybescherming van EU burgers) bereikt? 

Jean Paul van Schoonhoven, FG, hoofddocent PO2.0, FG, SPP-opleiding, managing partner L2P 

Naar mijn mening wel. Burgers zijn beter geïnformeerd over hun rechten en passen die ook in toenemende mate af. Hetzij richting organisaties, hetzij via de rechterlijke macht. Positief gevolg hier van is dat er steeds meer casusoplossingen zijn waardoor de AVG/GDPR steeds concreter wordt in de dagelijkse toepassing. 

Nico Keijser, FG, hoofddocent CDPO-opleiding, Keijser Consultancy 

In mijn perceptie heeft de AVG/GDPR het doel privacybescherming nog niet bereikt. Er zijn veel gevallen bekend en er zullen er ongetwijfeld nog vele volgen, waaruit blijkt dat het gewenste niveau er nog niet is. Of dat een probleem is waag ik echter te betwijfelen. De AVG is, net als andere wetten, ingericht om doorlopend te worden opgevolgd. We zijn met de AVG, samen met andere (toekomstige) EU-wetgeving, wel op pad naar een steeds hoger niveau van privacybescherming. Zolang de wereld om ons heen veranderd komen er nieuwe mogelijkheden voor bescherming, maar ook nieuwe mogelijkheden om privacywetgeving te omzeilen. Criminaliteit op dit vlak zal helaas ook niet stilstaan. 

Marlon Domingus, FG, Lead AI@EUR, Erasmus Universiteit Rotterdam (EUR) 

Ja en neen. Wel in die zin dat in toenemende mate by design onrechtmatig gebruik van persoonsgegevens is voorkomen, maar aan de andere kant is de tsunami aan grote datelekken een reden voor gelatenheid geweest bij burgers. ‘Iedereen weet toch al alles van mij.’ 

Wat zijn de grootste bedreigingen voor de AVG en gegevensbescherming en waarom? 

Jean Paul van Schoonhoven, FG, hoofddocent PO2.0, FG, SPP-opleiding, managing partner L2P 

Enerzijds het doorschieten in de privacy kramp en  anderzijds het soms nog hardnekkig negeren in de bestuurskamers van de winst die gegevensbescherming voor de eigen organisatie kan opleveren. 

Nico Keijser, FG, hoofddocent CDPO-opleiding, Keijser Consultancy 

Een bedreiging voor gegevensbescherming in zijn algemeenheid is naar mijn mening de huidige ontwikkeling op het gebied van AI, zoals bijvoorbeeld ChatGPT. Het is algemeen bekend dat aanpassen van wetgeving langer duurt dan de tijd waarin technische ontwikkelingen tot stand komen. Daarbij moet gezegd worden dat de last minute aanpassingen aan de AI Act die algemene regel doorbreken. Wanneer de bron van (persoons)gegevens niet bekend is, of niet vaststaat of (persoons)gegevens juist zijn of bij elkaar zijn ‘verzonnen’ op basis van Artificial Intelligence, wordt de bescherming van de echte persoonsgegevens bemoeilijkt. Als persoonsgegevens van een wel bestaande persoon verzonnen blijken, vallen die gegevens dan buiten de bescherming? Welke wetgeving is daar dan wél op van toepassing en hoe kan de betreffende persoon zich weren tegen het blijven bestaan van die onjuiste informatie? 

Er zijn nog veel organisaties die werk moeten verrichten om een minimaal niveau te bereiken. Voorlopig is er nog genoeg werk aan de winkel rondom de AVG. 

Marlon Domingus, FG, Lead AI@EUR, Erasmus Universiteit Rotterdam (EUR) 

Technologische innovatie gedreven door pure winstmaximalisatie in combinatie met steeds minder kritische burgers. Burgers zijn gewend geraakt aan zogenaamde ‘makkelijke en handige tooltjes’ en blijven elke keer weer – zie ook ChatGPT achter de hypes aanhollen. Aanbod creëert verrassend vaak toch de vraag. Nieuwe technologie waarbij security en privacy niet by design zijn ingebakken – aspecten die investeringen in tijd en geld kosten en dus niet bijdragen, op korte termijn, aan time to market en omzet, zetten de deur open voor ongewenste toepassingen, die steeds vaken niet alleen individuen benadelen, maar ook de democratische rechtstaat ontwrichten.

Veel ‘kritische burgers’ zijn in feite papagaaien die de communis opinio van een echo-kamer herhalen, hetgeen soms onderdeel is van een doelbewuste actie van een belanghebbende partij. Social media, vaak oorspronkelijk bedoeld om mensen te verbinden, maken nu mensen onzeker en schuw voor de ander, en vergroten de kloof met de ander, bijvoorbeeld door steeds feller en extremer trol-gedrag en overschrijden van de menselijke maat en fatsoensnormen. Dit gaat dus verder dan alleen het onderwerp privacy, maar is hieraan verwant omdat persoonsgegevens in toenemende mate de profielen bepalen en daarmee welke vorm van ‘brood en spelen’ men voorgeschoteld krijgt. 

Als u een onderdeel in de AVG/GDPR zou mogen veranderen welke zou dat zijn? 

Jean Paul van Schoonhoven, FG, hoofddocent PO2.0, FG, SPP-opleiding, managing partner L2P 

Dan zou dat de meldplicht datalekken en het verwerkingsregister zijn. Ik vind dat er een uitzondering op de meldplicht bij de AP mogelijk moet zijn voor organisaties die een adequaat werkend ISMS hebben, incidenten dus goed oppakken en het incident ook melden bij betrokkenen. Het verwerkingsregister in zijn huidige vorm voegt weinig toe aan de inzichten voor organisaties doordat het een losstaande verplichting is.

De gedachte achter het verwerkingsregister is het voeren van een adequaat persoonsgegevens-management maar met alleen de verplichting tot het hebben van een verwerkingsregister op hoofdlijnen, schiet de AVG tekort waardoor het in de praktijk een verplichting is geworden die ‘op zichzelf’ is gaan staan zonder dat het inzicht in gegevensstromen wezenlijk groter en beheersbaarder is geworden. 

Marlon Domingus, FG, Lead AI@EUR, Erasmus Universiteit Rotterdam (EUR) 

Het laatste AVG-artikel: ‘Inwerkingtreding en toepassing’, die had van mij eerder in de tijd mogen zijn.