Met blijdschap…
… geven wij kennis van de geboorte van GDPR! In 2011 zetten we de eerste prille stappen op weg naar de GDPR, met een resolutie waarin het Europees Parlement zijn visie op de hervorming van de toenmalige Richtlijn Gegevensbescherming uiteen zette. En nu, zeven jaar later, is de GDPR werkelijkheid.
Tussen die twee momenten liggen ontelbaar vele uren werk. Er werd zelfs een film gemaakt over het hele proces (van David Bernet).
GDPR (de afkorting van General Data Protection Regulation ofwel Algemene Verordening Gegevensbescherming), is dankzij de strapatsen van Mark Zuckerberg en Cambridge Analytica, waarschijnlijk de meest bekende Europese verordening ooit. De media berichten uitvoerig over de wet en aan alle kanten worden adviezen en hulp geboden om wegwijs te worden in de GDPR. Koortsachtig werden voorbereidingen getroffen om tijdig aan de GDPR-normen te voldoen. Snel was duidelijk dat veel organisaties en bedrijven de deadline niet gingen halen. De Autoriteit Persoonsgegevens (AP) zal in het begin vermoedelijk mild handhaven, zeker als het om kleine spelers gaat. Daarnaast komt de AP simpelweg handen te kort om de komende tijd haar handhavingstaken uit te voeren.
Er zijn zorgen en irritaties over de eisen waaraan bedrijven en organisaties moeten voldoen. Mensen vinden het ingewikkeld en lastig. Dat is begrijpelijk. In sommige gevallen is het inderdaad belastend. Anderzijds is niet alle kritiek gerechtvaardigd. Allereerst omdat de GDPR uitdrukkelijk lichtere verplichtingen voorziet voor kleine spelers, of organisaties die niet veel (gevoelige) persoonsgegevens verwerken. Maar grootte is niet altijd een criterium. Een arts in een kleine praktijk, of eenmansbedrijfje die een datingapp of betaalapp ontwikkelt, verwerkt gevoelige gegevens. Daarvan willen we allemaal dat ze veilig zijn. Daarnaast, is mijn indruk, zijn er ook veel misverstanden over de eisen waaraan moet worden voldaan. Soms meent men, ten onrechte, dat aan de allerstrengste normen moet worden voldaan die ook gelden voor grote multinationals, terwijl de GDPR dat helemaal niet voorziet.
Een tweede reden dat de kritiek niet helemaal gerechtvaardigd is, is dat de GDPR niet uit het niets komt, maar eigenlijk een nieuwe versie is van een richtlijn uit 1995. Veel van de principes uit de GDPR staan ook al in die richtlijn. Bijvoorbeeld de plicht om instemming van de gebruiker te vragen, of een meldplicht bij lekken. Maar de naleving van die richtlijn was op z’n zachtst gezegd zwak, en heel veel mensen waren simpelweg niet op de hoogte van hun wettelijke verplichtingen. Maar wie al wel voldeed aan die richtlijn, zal nu minder moeite hebben met het voldoen aan de GDPR.
Als de eerste ongemakken en hobbels eenmaal achter de rug zijn, kunnen we trots zijn op een wet die de Europeanen de beste bescherming van hun privacy en persoonsgegevens ter wereld geeft, en die het voor bedrijven aanmerkelijk makkelijker maakt om in Europa zaken te doen. Wie de groei (en het groeipotentieel) van handel op het internet ziet, kan alleen maar concluderen dat deze wet enorme kansen biedt. Veel grote internetbedrijven hebben al aangekondigd dat ze de Europese normen zullen toepassen op al hun activiteiten wereldwijd. Zo zet Europa wereldwijd de standaard.
Kortom, we toasten op de boreling en nemen beschuit met muisjes!
Sophie in ‘t Veld is lid van het Europees Parlement voor D66