Privacy: meer, meer en meer

De kogel is door de kerk. Op 25 mei 2016 is de Algemene Verordening Gegevensbescherming (AVGB) in werking getreden. Vanaf 25 mei 2018 is de AVGB direct van toepassing en kan er handhavend worden opgetreden. Dat is een vrijdag. Of zo pal voor het weekend ook meteen rake klappen zullen worden uitgedeeld, valt nog te bezien. Privacyschendende organisaties zullen echter vast niet al te lang worden ontzien, zeker niet als je bedenkt dat de toezichthouders gaan beschikken over een belangrijke wapenuitrusting: de ultieme boetebevoegdheid van 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Doel van de regelgeving is om moderne en robuuste privacybescherming tot stand te brengen. Dat lijkt ook best gelukt. De kritiekpunten uit diverse hoeken ten spijt, het moet gezegd worden dat een knap staaltje werk geleverd is, en dat binnen een gecompliceerde speelveld: een wankele EU, lastige parallelle onderhandelingen over de trans-Atlantische gegevensdoorgifte en alle andere mondiale uitdagingen waarmee we kampen. Wellicht kan de privacyregelgeving een bescheiden bijdrage leveren aan het creëren van meer onderlinge verdraagzaamheid en solidariteit. Bij het beschermen van persoonsgegevens gaat het in essentie immers om de menselijke maat en waardigheid, en dat hopelijk zonder dat daar een boete aan te pas hoeft te komen.

Voor dit moment is vooral belangrijk dat Brussel het huiswerk heeft gedaan, en organisaties de komende twee jaar de tijd krijgen om zich het omvangrijke pakket aan nieuwe maatregelen eigen te maken. Dat is kort dag als je ziet wat er binnen een doorsnee organisatie doorgaans nog nodig is en wat er op hen af zal komen. Waar de Privacyrichtlijn bestaat uit 72 overwegingen en 34 artikelen, kent de AVGB maar liefst 173 overwegingen en 99 artikelen. Een veelvoud van bepalingen dus. Gelukkig is niet alles geheel nieuw of onbekend, maar er is wel een behoorlijke verdiepingsslag gemaakt. Samengevat: meer verplichtingen, meer rechten voor de betrokkenen en meer nadruk op handhaving.

Een klein beetje ervaring hebben we in Nederland overigens al met een paar nieuwe regels. Met de reeds per 1 januari 2016 ingevoerde meldplicht datalekken kunnen organisaties en ook de toezichthouder hier al een beetje proefdraaien. Toch lijken de ‘lessons learned so far’ een beetje tegen te vallen. Becijferd is dat de teller van het aantal bij de Autoriteit Persoonsgegevens gemelde datalekken nog slechts staat op 1600 bij een populatie van omstreeks 130.000 organisaties (stand van zaken mei 2016). Dat is onwaarschijnlijk weinig en niet het aantal daadwerkelijke datalekken te reflecteren. Aanvankelijk was gerekend op ruim 60.000 meldingen op jaarbasis, hetgeen later is bijgesteld naar 6.000 meldingen. Naar hoe het komt dat het aantal meldingen datalekken flink is achtergebleven, is het enigszins gissen. Misschien zegt het iets over de mentaliteit die toch nog heerst binnen veel organisaties. Wanneer is sprake van een meldingswaardig datalek en in de kern hoe belangrijk is privacy nu eigenlijk? De ervaring leert dat de verantwoordelijkheid veelal nog niet op het juiste niveau binnen een organisatie is belegd. Mogelijk dat ook een verbeterslag van het meldloket kan helpen. Dat neemt niet weg dat de nieuwe strengere regelgeving de bewustwording voor de problematiek ontegenzeggelijk heeft aangewakkerd. De aandacht voor privacy-aangelegenheden is toegenomen. Dat zal ook wel moeten nu de AVGB zo dichtbij komt. Het zou onverstandig zijn om de ommekomst van de overgangstermijn van twee jaar af te wachten. Hoe u uzelf en uw organisatie zich hierop ook gaan voorbereiden, zet voor nu maar alvast het lezen van de bijdragen in dit nummer van Tijdschrift voor Internetrecht op uw to-do lijst.