Toen de GDPR in 2018 van kracht werd, werd de nieuwe en glanzende gegevensbeschermingswet bejubeld als een verschuiving naar strengere handhaving - ervoor zorgend dat het fundamentele recht op gegevensbescherming in de EU niet alleen op papier bestaat. Ter gelegenheid van de Dag van de Gegevensbescherming op 28 januari van dit jaar, noyb een enquête gehouden onder meer dan 1000 gegevensbeschermingsprofessionals die in Europese bedrijven werken. Dit leverde een unieke kijk van binnenuit op: 70% van de respondenten is van mening dat autoriteiten duidelijke beslissingen moeten nemen en de GDPR moeten afdwingen om naleving te garanderen, terwijl 74% zegt dat autoriteiten 'relevante overtredingen' zouden vinden als ze door de deur van een gemiddeld bedrijf zouden lopen. In een poging om naar "evidence-based handhaving" te gaan, toont dit onderzoek ook aan dat autoriteiten hun benadering van handhaving fundamenteel zouden moeten veranderen om bedrijven tot naleving te bewegen.
Serieuze handhaving heeft niet opgeleverd wat was beloofd. Toen de General Data Protection Regulation (GDPR) in mei 2018 van kracht werd, beloofde deze een verschuiving van de huidige 'soft-touch' benadering van gegevensbescherming naar serieuze handhaving. Om dit doel te bereiken, gaf de EU de autoriteiten serieuze onderzoeksbevoegdheden en de mogelijkheid om hoge boetes uit te delen. Volgens een nieuwe noyb onderzoek onder meer dan 1.000 gegevensbeschermingsprofessionals geloven de meeste deelnemers dat de invoering van de GDPR de manier waarop bedrijven omgaan met persoonsgegevens "aanzienlijk heeft verbeterd", maar 74% zegt nog steeds dat als autoriteiten daadwerkelijk een onderzoek ter plaatse zouden uitvoeren bij een gemiddeld bedrijf dat met gebruikersgegevens omgaat, ze "relevante overtredingen" zouden vinden.
Max Schrems, erevoorzitter van noyb: "Het is uiterst alarmerend wanneer 74% van de professionals op het gebied van bedrijfsinterne gegevensbescherming zegt dat autoriteiten aanzienlijke overtredingen zouden vinden bij een gemiddeld bedrijf. Dergelijke cijfers zouden ondenkbaar zijn als het ging om het naleven van belastingwetgeving of brandveiligheidsvoorschriften. Niet-naleving lijkt alleen de norm te zijn als het gaat om de persoonlijke gegevens van gebruikers."
Objectieve insidergegevens over GDPR-compliance. Om zoveel mogelijk inzicht te krijgen in de praktische toepassing van de GDPR, noyb's enquête 65 vragen opgenomen over een reeks onderwerpen op het gebied van GDPR-compliance en -handhaving. Dit stelde ons in staat om betrouwbare en objectieve gegevens te verkrijgen over de interne dynamiek die functionarissen voor gegevensbescherming (DPO's) ervan weerhoudt om maatregelen te implementeren om de GDPR-naleving te versterken, evenals externe factoren die bedrijven in de toekomst tot meer naleving zouden kunnen aanzetten. Dergelijke gegevens lijken van cruciaal belang om de handhavings- en nalevingswerkzaamheden te richten op strategieën die daadwerkelijk werken en het werk van interne DPO's ondersteunen.
In conflict met marketingafdelingen en het management. Bedrijven opereren vaak in een spanningsveld tussen winstbejag, de kosten om hun systemen GDPR-compliant te maken en de verplichting om de wet na te leven. noyblaat duidelijk zien dat DPO's onder druk staan om GDPR-compliance te beperken in het belang van de business: 46% van de respondenten zei dat sales en marketing hen actief onder druk zetten om de naleving te beperken, terwijl 32% zich onder druk gezet voelde door leden van het senior management. Het zal niemand verbazen dat het ook heel moeilijk is om deze belanghebbenden te overtuigen om de nodige veranderingen door te voeren om de naleving te verbeteren. Een schokkende 56% van de respondenten zei dat het moeilijk was om de marketingafdeling te overtuigen, terwijl 38,5% problemen had met het senior management. 51% zei ook dat het moeilijk is om leveranciers van buiten de EU/EER te overtuigen om producten te leveren die voldoen aan de voorschriften aan zakelijke klanten in de EU.
Max Schrems: "DPO's worden verondersteld onafhankelijk te zijn en te zorgen voor naleving vanuit het bedrijf.In werkelijkheid melden velen van hen druk van verschillende kanten om bedrijfsbelangen voorrang te geven."
Eop bewijs gebaseerde handhaving: boetes en reputatieschade. Het ernstige gebrek aan duidelijke handhavingsacties door de autoriteiten helpt de functionarissen voor gegevensbescherming niet om hun werk te doen. Volgens de resultaten van het onderzoek is de kans het grootst dat een bedrijf de naleving van de regels verbetert als het zelf - of zelfs andere bedrijven - met hoge boetes wordt geconfronteerd. 67.4% van de respondenten zei dat DPA-besluiten tegen hun eigen bedrijf die een boete inhouden, besluitvormers zullen beïnvloeden om te kiezen voor meer naleving. Interessant is dat 61,5% van de respondenten zei dat zelfs DPA-boetes tegen andere organisaties van invloed zouden zijn op de GDPR-compliance van hun eigen bedrijf. Dit effect ("afschrikking") is bekend en bestudeerd, maar wordt niet echt gebruikt door autoriteiten. Het op één na beste instrument lijkt de publicatie van besluiten te zijn. 52% zegt dat het reputatieverlies van een ander bedrijf al een positief effect heeft op de naleving van de GDPR door hun eigen bedrijf. Veel autoriteiten publiceren hun beslissingen momenteel echter niet (bijv. Duitsland) of slechts selectief.
Max Schrems: "Het advies van gegevensbeschermingsprofessionals binnen bedrijven lijkt te zijn: 'leg hoge boetes op en maak ze openbaar'. De gebruikelijke aanpak om te vertrouwen op 'informele' onderhandelingen tussen autoriteiten en bedrijven en geheime procedures lijkt volgens insiders van bedrijven het minst effectief."
EDPB-richtlijnen of het sluiten van zaken hebben geen invloed. Hoewel de autoriteiten veel moeite, tijd en middelen investeren in het verstrekken van richtlijnen aan bedrijven, lijken ze grotendeels te worden genegeerd door bedrijven. 46% van de respondenten zegt dat EDPB-richtlijnen niet invloedrijk zijn, terwijl slechts 23% ze enigszins invloedrijk vindt. Evenzo beoordelen insiders directe klachten bij bedrijven als weinig invloedrijk. Dit in tegenstelling tot klachten bij gegevensbeschermingsautoriteiten en de informele afsluiting van zaken (momenteel de meest voorkomende vorm van beslissing). Ondanks alle aanwijzingen dat er dringend behoefte is aan strikte handhaving, zijn dergelijke acties door de gegevensbeschermingsautoriteiten in de praktijk een uitzondering. Dit kan eenvoudig worden geïllustreerd aan de hand van noyb's eigen werk: De meeste van onze meer dan 800 zaken zijn al meer dan twee jaar in behandeling. Maar zelfs als je alleen de zaken eruit pikt die noyb heeft gewonnen, zijn er slechts een handvol beslissingen die een boete inhouden. In meer dan 800 zaken hebben we nog geen enkele instantie gezien die daadwerkelijk een inspectie ter plaatse bij een bedrijf uitvoerde.
Max Schrems: "In de afgelopen jaren hebben Europese autoriteiten talloze richtlijnen opgesteld en langdurige 'informele' gesprekken gevoerd met bedrijven om vervolgens zaken 'af te sluiten' zonder verdere actie te ondernemen. Te oordelen naar de feedback van compliance officers is dit helaas niet het beste gebruik van belastinggeld."
Beeld van insiders nog steeds positiever dan ervaring van gebruikers. Hoewel het beeld van insiders al alarmerend is, is het nog steeds optimistischer dan de gemiddelde ervaring van betrokkenen zou toestaan. Bijvoorbeeld, toen noyb het recht op toegang tot persoonsgegevens uitoefende, werd meer dan 90% van de verzoeken niet op tijd volledig beantwoord. De meeste verzoeken worden gewoonweg genegeerd. Ter vergelijking: 59% van de respondenten denkt dat de meeste bedrijven de "kernregels" van de GDPR "meestal" zullen naleven. De praktijk wijst uit dat het beeld van buitenstaanders nog slechter kan zijn dan dat van binnenstaanders.
De enige uitweg: "evidence-based handhaving". Als we de respondenten mogen geloven, is de enige realistische oplossing voor dit probleem duidelijk: strengere handhaving en duidelijkere DPA- en rechterlijke uitspraken die bedrijven dwingen om hun gegevensverwerking in overeenstemming te brengen. Een volledige en gedetailleerde lijst van voorgestelde acties is te vinden in het onderzoek. De resultaten laten ook zien dat het dringend noodzakelijk is om meer objectief bewijs te verzamelen om ervoor te zorgen dat de autoriteiten effectief handhavingswerk (kunnen) verrichten gezien de beperkte middelen. Het herhalen van benaderingen die niet werken zal niet leiden tot praktische veranderingen op de telefoons en computers van Europeanen. De gegevens die in ons onderzoek zijn verzameld, vormen een uitstekend uitgangspunt voor verder onderzoek. noyb zal ook verder onderzoek doen.
