Niet uitgekomen
Langzaam maar zeker beginnen er wat meer publicaties in de EU en daarbuiten te komen over de status van de AVG. Wereldwijd is GDPR een bekende, beruchte en zelfs gevreesde term geworden. Hoewel de voorspellingen over boetes van miljarden Euro’s niet zijn uitgekomen, wat is opgelegd aan boetes liegt er niet om. Wel uitgekomen is namelijk de verwachting dat elke boete goed is voor persaandacht en imagoschade.
Wel uitgekomen
Waarop in privacykringen werd gehoopt en wel is uitgekomen is de olievlek werking van de AVG. Zelfs in de VS is de GDPR een leidraad geworden voor consumentenbescherming. Daar is tot begin dit jaar door de staten gewerkt aan losse wetgeving. Die uit Californië, de CCPA, is daar het bekendste voorbeeld van. Dat India voornemens was de GDPR te klonen was minder bekend, vanwege de impact is het wel iets om te onthouden.
Op gespannen voet
Bij de evaluatie van de AVG/GDPR zal uiteraard naar meer dan de werking van die regels gekeken worden (link naar roadmap) . Onvermijdelijk is dat maatregelen die de werking ervan te ondermijnen of omzeilen aandacht zullen krijgen. Zaken als de werking van de nieuwste generatie tracking cookies en vergelijkbare technieken zullen onder de loep genomen worden. Waar nodig en mogelijk kan in theorie de AVG/GDPR daarop worden aangepast.
Belangrijker en lastiger zijn echter de ontwikkelingen waarbij de opslag van data en het gebruik van cloud diensten op gespannen voet is gaan staan met de basisprincipes van de EU. De lezer zal daarbij kunnen denken aan de status van de Safe Harbor overeenkomst tussen de EU en de VS. Die complexe zaak gaat eigenlijk over iets anders dan de AVG, maar de aanhaakpunten zijn evident. De affaire speelt daarbij ook al veel langer dan dat de AVG de huidige rol is gaan spelen.
Brexit en Rusland
Veranderingen van recentere datum met een AVG component zijn Brexit en Russische wetgeving. De Russen eisen nu dat data van de ingezetenen niet meer het land uit mag. Dat lijkt geen link te hebben met de AVG. Die zit meer bij de constatering dat we simpelweg niet weten op welke manieren de data van EU ingezetenen in Rusland worden behandeld (tussen zeggen en doen zit zoals bekend de nodige ruimte).
Een nog groter probleem is Brexit. De Britten sturen aan op serieuze breuk met de EU. Zoals al eerder aangegeven is er een levensgroot probleem met data op Brits grondgebied van EU ingezetenen. Zolang de Britten deel uitmaakten van de EU was de AVG/GDPR daar van kracht. Dat is nu verleden tijd. Het aantal voorbeelden van schendingen in de vorm van datagraaien en verhandelen van gebruikersgegevens met derden, ook door overheidsdiensten, is de laatste maanden alleen maar toegenomen.
Bijzondere evaluatie
De evaluatie van de AVG//GDPR zal daarom een heel andere worden dan iedereen zich twee jaar geleden kon voorstellen. Er zijn goede punten te noemen, zoals de hogere awareness. Er zijn echter ook ronduit negatieve ontwikkelingen. Die kunnen Brussel aanzetten de regels dusdanig aan te passen dat het lastiger wordt iets met data buiten de EU te gaan doen. Gelet op de spanningen die tussen de EU en derde landen bestaan is dat scenario niet onwaarschijnlijk.
