Verklaring over 4 jaar GDPR
GDPR heeft een cultuur van niet-naleving niet veranderd. Toen de GDPR op 25 mei 2018 van toepassing werd, werd dit gezien als een keerpunt. De commentaren hielden het midden tussen de EU die serieus werk ging maken van privacy en het internet dat om middernacht afbrak. De afgelopen vier jaar is gebleken dat een wet alleen geen verandering brengt in bedrijfsmodellen die gebaseerd zijn op misbruik van persoonsgegevens en een cultuur binnen de privacyprofessie die vaak gericht is op het toedekken van niet-naleving. Na een eerste schrikmoment heeft een groot deel van de data-industrie geleerd te leven met GDPR zonder de praktijken daadwerkelijk te veranderen. Dit gebeurt vooral door de rechten van gebruikers gewoon te negeren en ermee weg te komen.
De GDPR-cultuur: openlijk spotten en vijandigheid. Dit vertaalt zich vaak in het kleineren van grondrechten. Het grondrecht op gegevensbescherming wordt niet gerespecteerd en wordt niet gezien als het resultaat van een lang democratisch proces, maar wordt bespot als gek of "onmogelijk na te leven". Autoriteiten en non-profitorganisaties die de wet in haar huidige vorm proberen te handhaven, krijgen te maken met openlijke vijandigheid en beschuldigingen, zoals dat handhaving "innovatie om zeep zou helpen". Bijna geen enkel ander rechtsgebied wordt in die mate gepolitiseerd - ik heb tenminste nog nooit gehoord dat bouw- of belastingvoorschriften openlijk werden genegeerd met het argument dat naleving "het bedrijfsmodel zou ondermijnen" van een bedrijf. De privacyzeepbel aanvaardt dergelijke verhalen als een legitiem argument.
GDPR-nalevingsdynamiek. De GDPR is er (nog) niet in geslaagd om uit een reeds bestaande toestand te geraken: een neerwaartse spiraal van steeds meer niet-naleving en niet-handhaving. Net als wanneer delen van een stad een criminele "no go"-zone worden die door de politie aan hun lot worden overgelaten, lijkt het erop dat veel gegevensbeschermingsautoriteiten op veel gebieden in de digitale sfeer de overhand hebben verloren. Bedrijven beseffen dat concurrenten zich niet aan de regels houden en dat legaal handelen niet loont. Hoe meer niet-naleving zich verspreidt, hoe moeilijker het voor de autoriteiten zal worden om met beperkte middelen de controle terug te krijgen
Gebrek aan handhaving door gegevensbeschermingsautoriteiten. Het gebrek aan echte handhaving en dus het ontbreken van een afschrikkend effect op andere bedrijven gooit nog meer olie in het vuur. Van de ongeveer 50 grensoverschrijdende zaken die de Noyb in de afgelopen vier jaar heeft aangespannen, is er nog geen enkele tot een eindbeslissing gekomen. Maand na maand wordt het moeilijker om deze situatie weer op de rails te krijgen als er geen behoorlijke handhaving komt. Terwijl sommige autoriteiten zich meer zorgen lijken te maken over de publieke perceptie als zij de wet daadwerkelijk zouden handhaven, lijken andere zich de situatie te hebben gerealiseerd en hun best te doen om aan de slag te gaan. Niettemin dringt de tijd en lijkt het erop dat we een situatie naderen waarin de GDPR volledig zal worden genegeerd - net als de vorige EU-richtlijn inzake gegevensbescherming uit 1995.
Technische problemen. In de praktijk hebben de autoriteiten (en de betrokkenen) vaak te kampen met zeer technische problemen die het gevolg zijn van verschillende nationale procedures, beperkte middelen, een gebrek aan opgeleid personeel of rechtbanken die beslissingen snel ongedaan maken. Deze kwesties halen de krantenkoppen niet, maar zijn wel de redenen waarom het noyb zich inmiddels meer met procedurekwesties dan met privacykwesties moet bezighouden.
noyb: Eerst negeren ze je, dan vechten ze tegen je, en dan win je. Binnen deze grotere context heeft de rol van de noyb in 2022 een zeer interessante verschuiving ondergaan. Veel spelers in de sector zien het als een belediging dat gebruikers daadwerkelijk naleving van de GDPR kunnen eisen en daadwerkelijk naar de rechter durven te stappen over hun rechten. Hoewel de rechtbanken gewoonlijk de natuurlijke habitat zijn van elke advocaat, zien we dat advocaten steeds vaker verontwaardigd zijn over ons werk. Persoonlijk zie ik dit als een teken van ons uitmuntende succes als kleine organisatie die een of twee jaar geleden nog genegeerd werd.
De weg vooruit. Voor veel grondrechten is eeuwen nodig geweest om ze vast te stellen, te verdedigen en uit te voeren. Ze liggen allemaal voortdurend onder vuur en er moet elke dag aan worden gewerkt. Het hoeft niet te verbazen dat dit ook geldt voor het recht op gegevensbescherming. Autoriteiten zullen moeten leren dat niemand handhavingsinstanties leuk vindt - maar dat hun rol van cruciaal belang is voor onze digitale samenlevingen. Bedrijven moeten leren dat er consequenties zijn. Bedrijfsjuristen zullen moeten leren dat hun standpunten zullen worden aangevochten voor gegevensbeschermingsautoriteiten en rechtbanken. Privacyactivisten zullen moeten leren dat het aannemen van een wet alleen niet genoeg is - we moeten die wet ook handhaven. Wij kijken er zeer naar uit om hier de komende jaren aan te werken.