Bijna een jaar van #GDPR: is de nieuwe EU-privacywetgeving iets veranderd?

Het is bijna een jaar geleden dat de nieuwe EU-privacywetgeving op 25 in mei van kracht werd, 2018. Sindsdien hebben zowel bedrijven als particulieren de kans gehad om opnieuw te bekijken hoe zij omgaan met persoonlijke gegevens. Hoeveel is er in deze periode veranderd?

Het brede bereik van de nieuwe EU-privacyregels

De nieuwe set regels staat bekend als de GDPR, wat een afkorting is voor Algemene Verordening Gegevensbescherming. De GDPR, die de vorige 1995-richtlijn voor gegevensbescherming vervangt, had tot doel de bescherming van persoonsgegevens als een fundamenteel mensenrecht vast te stellen en de regels en waarborgen voor gegevensbescherming in de hele EU te verbeteren en te harmoniseren. Een van de meest controversiële aspecten, en degene die ondernemingen wereldwijd woedend hebben gemaakt in de weken voorafgaand aan de handhaving ervan, was de territoriale reikwijdte. Volgens de AVG is dit niet alleen van toepassing op in de EU gevestigde bedrijven, maar ook op elke organisatie die goederen en diensten levert aan personen die in de EU zijn gevestigd of toezicht houden op hun activiteiten. Dit betekende effectief dat Amerikaanse bedrijven zich ook moesten voorbereiden op de nieuwe regels, anders moesten ze zware boetes betalen. Niet voldoen aan de GDPR-vereisten kan resulteren in het opleggen van boetes tot € 20,000,000 of 4% van de totale wereldwijde inkomsten van een entiteit.

Tegen deze achtergrond, en naarmate de deadline naderde, werden klanten gebombardeerd door e-mails en meldingen van bedrijven waarin ze werden aangespoord om toestemming te geven om communicatie en promoties te blijven ontvangen. Hoewel het enorme volume voor de meesten overweldigend was, gaf het een stimulans voor een interessant debat dat al lang had moeten komen: het bureau van consumenten als het gaat om hun online privacy. Het zou niet overdreven zijn om te zeggen dat de meeste mensen geen idee hadden hoeveel van hun persoonlijke gegevens en online activiteiten werden bijgehouden, en dat de komst van de GDPR daar enig licht op heeft geworpen. Uit onderzoek blijkt dat van april tot juli 2018, vanaf de maand voorafgaand aan de handhavingsdatum van de GDPR tot een paar maanden daarna, de nieuwspagina's geleidelijk aan cookies en domeinen van derde partijen hebben afgeschaft. In Italië daalden cookies van derden met 19%, terwijl hetzelfde aantal steeg tot 32% in Frankrijk, 33% in Spanje en maar liefst 45% in het VK. Ondertussen werden externe domeinen verlaten door 16% van de respondenten in Frankrijk, evenals 13% in het VK en 12% in Spanje.

Hefty Fines opgelegd onder de GDPR

advertentie

Ter gelegenheid van de Data Protection Day, die elk jaar in januari wordt gevierd, 28th, de EU-Commissie heeft een infographic vrijgegeven met belangrijke tips vanaf de maanden sinds de AVG werd geïmplementeerd. Het lijkt erop dat de nieuwe regels op brede schaal zijn goedgekeurd, omdat particulieren en bedrijven gebruik maken van de bepalingen ervan. Over 95,000-klachten zijn tot afgelopen januari ingediend bij Data Protection Authorities (DPA's) onder de GDPR-regels, de meeste met betrekking tot telemarketing, promotionele e-mails en CCTV-bewaking. Aan de andere kant van het spectrum lijkt het erop dat organisaties zich warmlopen voor hun nieuwe verplichtingen onder de vlaggenschip privacywetgeving. Tot januari 2019 werden ongeveer 41,500-meldingen met betrekking tot datalekken ontvangen door nationale DPA's. Onder de GDPR hebben bedrijven 72 uren nadat ze een inbreuk hebben ontdekt om het incident aan de bevoegde gegevensbeschermingsautoriteit te melden. De vrees voor de geldboetes waarin de verordening voorziet, lijkt te hebben gewerkt. De EU-Commissie geeft ook details over de drie gevallen waarin boetes daadwerkelijk zijn opgelegd - met nog enkele andere zaken die nog hangende zijn.

Volgens de infographics ontving een sportweddenkingscafé in Oostenrijk een € 5,280-boete voor videobewaking, terwijl een sociale netwerkexploitant in Duitsland een boete kreeg voor € 20,000 wegens het ontbreken van geschikte waarborgen voor gegevensbescherming. In misschien wel het meest opmerkelijke geval kreeg gigant Google en Google een bekostiging van € 50 miljoen door de Franse gegevensbeschermingsautoriteit wegens een gebrek aan transparantie en het niet garanderen van toestemming voor gepersonaliseerde advertenties. De beslissing, die op grote schaal werd gemeld in het nieuws, werd bereikt nadat twee ngo's die zich bezighouden met privacy op het web, klachten hebben ingediend bij de Franse waakhond CNIL. Hoewel het op geen enkele manier zal vertalen naar financiële ondergang voor Google, omdat de waarde van het bedrijf in de biljoenen wordt geschat, zal dit naar verwachting een impact hebben op de manier waarop zij privacykwesties benaderen en mogelijk leiders uit de Silicon Valley-industrie hun bedrijfsmodel laten herzien . De recente ellende van het sociale mediaplatform Facebook, dat geconfronteerd werd met een enorme terugslag omwille van zijn controversiële manier om persoonlijke gebruikersgegevens te delen met externe analysebedrijven, wijst er bovendien op dat verandering al lang had moeten plaatsvinden.

En het lijkt erop dat de GDPR daar misschien de inspiratie voor zou kunnen bieden, mede dankzij de publiciteit die het kreeg. Volgens de infographic van de Commissie werd de GDPR in 2018 vaker genoemd dan Mark Zuckerberg zelf op mondiale media, terwijl hij in mei 2018 zowel Beyoncé als Kim Kardashian overtrof in Google-zoekopdrachten.

Deel dit artikel: