25 mei 2020 is de tweede verjaardag
van de invoering van de General Data Protection Regulation -GDPR (Algemene
Verordening Gegevensbescherming, AVG) in Europa. Het is ongetwijfeld de
belangrijkste wetgeving over persoonsgegevens van de afgelopen jaren en het is
ontworpen om de privacy te waarborgen van zij die binnen de EU wonen. In deze tijdspanne
hebben we een aanzienlijke toename vastgesteld van het bewustzijn rond privacy
en bescherming van gegevens, waarbij wereldwijd aanvullende regelgeving wordt
toegepast. Bedreigingen tegen privacy zijn nog nooit zo groot geweest, met
voortdurende inspanningen van cybercriminelen die de waarde van gegevens als
valuta in het brandpunt stellen - en het belang om kort op de bal te spelen als
het gaat om beveiliging van persoonlijke informatie.
Dat GDPR geen wondermiddel is voor
alle problemen met gegevensprivacy is ook duidelijk geworden in de afgelopen
twee jaar. Sinds mei 2018 werden enorme boetes uitgeschreven voor bedrijven die
consequent de gegevens van hun klanten niet beschermen, waarbij een voorgestelde
boete van £ 189 miljoen (+/- € 230 miljoen) wegens een datalek bij British
Airways in 2018. Hoewel deze boetes organisaties kunnen helpen om meer
verantwoordelijkheid aan de dag te leggen over hoe ze de informatie van klanten
opslaan, is er nog een lange weg te gaan om volledige gegevensprivacy te
garanderen.
Waar staat GDPR?
GDPR, hoewel
misschien een van de eerste, is niet de enige gegevensbeschermingswet die
wereldwijd wordt toegepast. De Consumer Privacy Act (CCPA) in California, in
juni 2018 ondertekend, bevat veel bepalingen die vergelijkbaar zijn met die van
de GDPR. Hoewel de geografische reikwijdte van deze wet beperkt
kan lijken, beïnvloedt ze in werkelijkheid elke staat die zaken doet in de EU
of de Golden State.
De Braziliaanse Lei
Geral de Proteção de Dados (LGPD), die in augustus 2020 van kracht zou moeten
zijn, geeft, onder andere, burgers het recht geeft om de verwijdering aan te
vragen van gegevens over hen. Daar Brazilië een van de grootste economieën van
Zuid-Amerika is, zal deze wetgeving dus een voelbaar effect hebben op de wereld.
De LGPD creëert een reeks nieuwe juridische concepten en genereert specifieke verplichtingen
voor gegevensbeheerders, waardoor ze meer verantwoordelijkheid dragen in de
ogen van de wet.
De Japanse Act on the
Protection of Personal Information – APPI (wet op de
bescherming van persoonlijke informatie) werd in 2003 ingevoerd, en kreeg in mei 2017 belangrijke herzieningen.
Deze omvatten de uitbreiding van de toepassing van de wet, waarbij zelfs
buitenlandse bedrijven zijn betrokken als ze gegevens over Japanse burgers
hebben, wat betekent dat deze wet verder gaat dan vele andere.
De toekomst van GDPR
De afgelopen maanden kende de gegevensprivacy
een nog grotere uitdaging. In het licht van de lockdown door het coronavirus
werden gegevens, die voorheen privé zouden gebleven zijn - zoals medische
informatie, op minder dan ideale manieren gedeeld. Apps om de verspreiding van
COVID-19 op te volgen, zijn ontworpen om individuen te traceren, waarschuwen
als gebruikers mogelijk in contact kwamen met zij die door het virus
geïnfecteerd zijn. Hoe kunnen voorschriften voor gegevensbescherming voor meer
tracking zorgen?
Toen men in Q1 2020 begon met
lockdown-maatregelen, legde het Europees Comité voor gegevensbescherming (European Data Protection
Board - EDPB) een verklaring af (statement) waarin wordt verduidelijkt dat de
GDPR de volksgezondheidsautoriteiten toestaat persoonlijke informatie te verwerken
zonder individuele toestemming en dit om de volksgezondheid te beschermen. Wat
het gebruik van locatiegegevens betreft, werd in de verklaring verder
verduidelijkt dat overheidsinstanties zich aan de e-privacyrichtlijn moeten
houden. Artikel 15 van de richtlijn biedt de mogelijkheid voor de EU-lidstaten
om wetgevende maatregelen in te voeren die het gebruik van locatiegegevens
mogelijk maken. Deze gegevens dienen echter wel zoveel mogelijk op een anonieme
wijze verwerkt te worden.
Laatste bedenkingen
Een
van de belangrijkste effecten van GDPR is dat het op wereldvlak gesprekken over
gegevensbescherming heeft veroorzaakt. Door
de privacy van onze gegevens centraal te stellen, heeft de GDPR benadrukt hoe
belangrijk het is om controle te hebben over de wijze waarop persoonlijke
informatie opgeslagen en gedeeld wordt. Wie weet wat de komende twee of tien
jaar kunnen betekenen voor de wetgeving inzake gegevensbescherming, of hoe
technologie de wereld verder zal blijven veranderen? Een ding staat vast: gegevensprivacy
zal niet snel van de wereldwijde radar verdwijnen.
Social Posts:
·
Happy birthday to GDPR!
Today, it’s two years since the first-ever piece of legislation on data
protection was implemented. #TwoYearsofGDPR