Wat is er mis met de GDPR (AVG)?

De kritiek op de General Data Protection Regulation (GDPR) zwelt aan. Sinds de komst van de Algemene verordening gegevensbescherming (AVG) in Nederland in 2016 wordt er veel over gemopperd. Maar nu ligt de Europese privacywet serieus onder vuur. Wat zien privacy-experts als de grote problemen – en welke oplossingen worden er voorgesteld?

“Save the GDPR!” Dat was in juli de oproep van Access Now aan de Europese Commissie. Vier jaar na de introductie van de Europese privacyrichtlijn is de handhaving nog altijd gefragmenteerd en ondermaats. Het lastig voor betrokkenen om een klacht in te dienen, stelt de organisatie die zich wereldwijd inzet voor digitale burgerrechten.

Handhaving: de kern van de kritiek op de GDPR

De alarmbellen over de tekortkomingen van de GDPR zijn niet alleen bij Access Now afgegaan. Er is steeds meer discussie over de nadelen van de wet waarmee de Europese Unie zich een internationale koploper in dataprotectie wilde tonen.

De kritiek focust momenteel vooral op de gebrekkige handhaving. De Europese privacytoezichthouders zijn volgens criticasters allereerst te langzaam, te zwak en te vriendelijk voor het bedrijfsleven om daadwekelijk een vuist te maken tegen giganten zoals Meta, Google en Apple. De toezichthouders hebben sinds 2018 voor ruim een miljard euro aan GDPR-sancties opgelegd, waaronder miljoenenboetes voor WhapsApp en Amazon. Maar de boetedreiging leidt niet tot een betere privacybescherming. “Een groot deel van de data-industrie heeft met de GDPR leren leven zonder enige aanpassing van de praktijken,” aldus de Oostenrijkse privacyvoorvechter Max Schrems.

De toezichthouders zouden daarnaast niet voldoende capaciteit hebben om effectief naar mogelijke overtredingen te speuren. Zo zijn er nog vele klachten van activisten in behandeling. De NOYB van Schrems wacht naar eigen zeggen op uitspraken in meer dan vijftig internationale zaken. De situatie kan de indruk wekken dat het toezicht arbitrair is en dat toezichthouders incompetent zijn.

Drie problemen met de GDPR

De Nederlandse privacy-expert Jeroen Terstegge ziet naast het falende toezicht ook andere problemen met de GDPR. Hij constateert allereerst een gebrek aan kennis onder verantwoordelijken én betrokkenen. Door de soms vage regels zijn er talloze misverstanden over de diverse rechten en plichten uit de AVG. Met als gevolg dat sommige organisaties de wettelijke kaders simpelweg negeren, terwijl andere de regels juist te strikt interpreteren en daardoor onnodig innovatie verhinderen.

Terstegge, strateeg en partner van adviesbureau Privacy Management Partners en gastdocent van Outvie, maakt zich ten tweede zorgen over het gebrek aan mensen en middelen voor dataprotectie. Organisaties moeten verschillende acties ondernemen om – structureel – te voldoen aan de AVG. Denk aan het uitvoeren van data protection impact assessments en het bijhouden van verwerkingsregisters. Daarvoor zijn deskundige en gespecialiseerde professionals nodig, die de tijd en middelen krijgen om effectief en risicogestuurd te opereren.

Terstegge stelt ten derde dat de boetedreiging van de AVG een “cultuur van wantrouwen” heeft gecreëerd. Organisaties zijn terughoudend om persoonsgegevens door te geven aan derden, en eerder gericht op het voorkomen van sancties dan het versterken van dataprotectie.

De toekomst van de Europese privacywetgeving

Naar verwachting vindt in 2024, als een nieuwe Europese Commissie van start gaat, een uitgebreide evaluatie van de GDPR plaats. Wojciech Wiewiórowski, voorzitter van de European Data Protection Supervisor (EDPS), heeft al gezegd dat “onderdelen van de GDPR zeker zouden moeten worden aangepast aan de toekomstige realiteit”. Wiewiórowski ziet het naar eigen zeggen ook als zijn taak om de verschillende visies op de wet in kaart te brengen en de discussie over de praktische verbeterpunten te stimuleren.

Terstegge is van mening dat er een kader voor gegevensbescherming ontwikkeld moet worden die past bij de behoeften van onze informatiemaatschappij. “Maak de vrije stroom van informatie mogelijk om de wereld waarin we leven in stand te houden en tegelijkertijd de rechten en vrijheden van mensen te beschermen. Daar was de GDPR immers voor bedoeld.”

Succes en- faalfactoren GDPR

Volgens Access Now is een ingrijpende hervorming van het wettelijke kader in ieder geval geen goed idee. De burgerrechtenorganisatie pleit in plaats daarvan voor een diepgaand onderzoek naar de succes- en faalfactoren van de GDPR én voor extra juridische maatregelen die duidelijk maken hoe de handhaving straks precies moet plaatsvinden. Het pleidooi sluit aan bij de groeiende belangstelling voor een stevige handhaving op Europees niveau, zoals dat al gebruikelijk is voor onder andere mededinging.

Voor NOYB, dat tijdens het Dataprotectie & Privacy Congres 2022 een keynote verzorgt over de status en toekomst van de GDPR, is effectief toezicht essentieel voor dataprotectie. De geschiedenis leert namelijk dat fundamentele rechten zoals privacy continu onder druk staan en daarom steeds opnieuw moeten worden verdedigd en versterkt.

De actualiteit van de AVG staat prominent in de schijnwerpers tijdens het Dataprotectie & Privacy Congres dat Outvie op 6 en 7 oktober organiseert in Amsterdam. Programmadirecteur Romain Robert van NOYB bespreekt tijdens zijn keynote de beloften, de effecten en toekomst van de GDPR. Kijk voor informatie over het programma en tickets op de website van Outvie.