Sinds de Europese Commissie haar Digital Omnibus voorstel heeft gepubliceerd, zijn de discussies over de werklast die de GDPR met zich meebrengt voor bedrijven in Europa geïntensiveerd. De Commissie wil onder andere het recht op toegang beperken, zogenaamd om de regeldruk te verminderen. Maar weerspiegelen deze veranderingen eigenlijk wel de behoeften van privacyprofessionals die bij bedrijven werken? Lees meer, noyb een enquête gehouden waarin Data Protection Officers (DPO's) werd gevraagd welke elementen van de GDPR het meeste van hun tijd in beslag nemen - en waar die tijd het beste kan worden besteed om de gegevensbescherming van mensen te waarborgen.
Het blijkt dat de meeste professionals niet willen dat er wordt bezuinigd op bescherming, maar dat er minder documentatie en papierwerk nodig is. In veel gevallen vragen ze zelfs om duidelijkere wetten in plaats van meer 'flexibiliteit', wat voor de meeste bedrijven moeilijk te managen is.
Input rechtstreeks van de bron. Het belangrijkste argument van de Europese Commissie voor het wijzigen van de GDPR is het verminderen van de vermeende 'regeldruk' voor Europese bedrijven. De Commissiebezuinigt echter niet op administratieve stappen, maar gaat juist voor de 'kernelementen' van de wet. Ze stellen onder andere voor om de definitie van persoonsgegevens te versmallen, het recht op toegang te beperken en de sluizen open te zetten voor AI-training. Dit roept de vraag op: helpt dit het gemiddelde EU-bedrijf? Zal het de werkdruk van interne Data Protection Officers (DPO's) en andere compliance medewerkers verminderen? noyb heeft een enquête gehouden onder DPO's en privacy professionals om precies deze vragen te beantwoorden - en meer te weten te komen over de behoeften van mensen die dagelijks met de GDPR werken. Hun antwoorden wijzen vaak in de tegenovergestelde richting vande aanpak van de Europese Commissie.
Max Schrems, voorzitter van noyb: "Deze studie toont aan dat er een enorme kloof gaapt tussen de behoeften van echte mensen die elke dag aan compliance werken en de problemen die door de 'Brusselse lobbybubbel' worden gepusht. We helpen hier niet de normale EU-bedrijfsleven - het voorstel van de Commissie snijdt vaak zelfs in wat professionals als nuttig zien."
Rechten van gegevenssubjecten: Weinig werk, grote impact. Interessant is dat de meerderheid van de respondenten zei dat het naleven van de rechten van betrokkenen (artikel 15 tot 21) niet veel werk oplevert. Het meest significant was dat meer dan 70% zei dat het recht op toegang (artikel 15) slechts "een beetje", "weinig" of zelfs helemaal geen werk oplevert. Tegelijkertijd wordt het gezien als een nuttig instrument om de rechten van mensen te beschermen. Dit komt overeen met de praktijkervaring van noyb: de meeste bedrijven krijgen nauwelijks toegangsverzoeken (SAR's), terwijl specifieke bedrijven (Big Tech, gegevensmakelaars of kredietbureaus) er meestal veel krijgen, maar ook geautomatiseerde SAR-antwoorden hebben. Het is daarom verrassend dat het Digital Omnibus-voorstel van de Europese Commissie nog steeds een beperking van artikel 15 GDPR voorstelt, waardoor het voor Europeanen erg moeilijk zou worden om hun privacyrechten af te dwingen.
Kernregels: relevante werklast, groot rendement. Zoals verwacht genereren de kernregels onder artikel 5 tot 11 GDPR (bv. principes met betrekking tot de rechtmatigheid van de verwerking of voorwaarden voor toestemming) een relevante werklast. De respondenten rangschikten deze regels echter ook als de op één na nuttigste elementen van de wet om de rechten van betrokkenen te beschermen. Hetzelfde geldt voor de transparantieverplichtingen van artikel 13 en 14, die de Europese Commissie ook voorstelt te beperken.
Echte vereenvoudiging: Weg met de "one size fits all" benadering. Terwijl de "risicogebaseerde aanpak" van de GDPR werd gezien als een manier om de last voor kleinere bedrijven te beperken in een "one size fits all" wet, melden professionals precies het tegenovergestelde. In de praktijk is het een veelgehoorde klacht dat grote bedrijven onduidelijke teksten en voor interpretatie vatbare "risicobeoordelingen" kunnen beheren, terwijl kleinere verwerkingsverantwoordelijken daar niet de middelen voor hebben. Respondenten zijn duidelijk voorstander van een systeem met duidelijke drempels voor bedrijfsgroottes die gebaseerd moeten zijn op relevante meetgegevens zoals gebruikersaantallen - niet het aantal werknemers. Ondanks het feit dat veel van hen grotere bedrijven vertegenwoordigen (500+ werknemers), zegt 70% van de respondenten dat er behoefte is aan strengere regels voor grote bedrijven.
Max Schrems: "Er wordt al jaren gediscussieerd over het 'tieren' van de GDPR, met klasse A-, B- of C-bedrijven. Op dit moment valt een kleine non-profit zoals noyb over het algemeen onder dezelfde regels als Google. In plaats daarvan wil de Commissie flexibele 'risico'-elementen aan de wet toevoegen, wat betekent dat de meeste bedrijven een advocaat nodig zouden hebben om te weten of een artikel op hen van toepassing is."
Minder "risico', meer duidelijkheid via witte en zwarte lijsten. 83.3% van de deelnemers zei voorstander te zijn van een witte lijst voor verwerkingsactiviteiten en 91,1% zei voorstander te zijn van een zwarte lijst voor verwerkingsactiviteiten. Een grote meerderheid is van mening dat dergelijke lijsten bedrijven "veel werk" zouden besparen en meer rechtszekerheid zouden scheppen. Verrassend genoeg vinden privacyprofessionals die voor verwerkingsverantwoordelijken werken niet dat een "zwarte lijst" (vergelijkbaar met artikel 5 van de AI-wet) verwerkingsverantwoordelijken te veel zou beperken. Het lijkt erop dat rechtszekerheid de voorkeur geniet boven flexibele wetten.
Lagere nalevingskosten voor B2B: Verrassend genoeg genereert de GDPR een grote hoeveelheid nalevingskosten tussen bedrijven ("B2B") die niet gebruikersgericht zijn. Miljoenen contracten worden opgesteld en beheerd tussen bedrijven. Alleen al het feit dat de wet rechtstreeks van toepassing is op aanbieders zoals Cloud Hyperscalers zou miljoenen werkuren kunnen besparen - en de privacybescherming daadwerkelijk kunnen verbeteren. DPO's zouden een dergelijke vereenvoudiging van harte ondersteunen.
Max Schrems: "De Omnibus is niet alleen verkeerd voor gebruikers, maar ook voor de meeste bedrijven. In veel opzichten hebben we een 'los-vast' voorstel."
Begin van een breder debat. De punten die in dit onderzoek naar voren zijn gebracht, vormen slechts het begin van een breder debat dat door het voorstel voor de digitale omnibus op gang is gebracht. We geloven echter wel dat op feiten gebaseerde wijzigingen in de GDPR gunstig kunnen zijn voor iedereen: voor de verwerking verantwoordelijken, verwerkers, betrokkenen en autoriteiten. We hopen dat deze eerste resultaten ons de weg kunnen wijzen naar nuttige oplossingen voor echte problemen, in plaats van het najagen van modewoorden.
