Europese Dag van de Privacy: keert de privacyregelgeving de globalisering de rug toe? | Agoria

Europese Dag van de Privacy: keert de privacyregelgeving de globalisering de rug toe?

Image
Published on 28/01/21 by Thomas Van Gremberghe
Vandaag, 28 januari, is het de Europese Dag van de Privacy. Europa wil het voortouw nemen op het vlak van digitalisering en artificiële intelligentie, wat Agoria alleen maar kan toejuichen. De digitalisering zorgt ervoor dat de wereld in onze achtertuin ligt, waardoor het makkelijker is om klanten en leveranciers aan te spreken. Maar het poortje van de achtertuin lijkt stilaan vast te roesten en steeds moeilijker open te gaan voor datastromen.

In mei 2018 haalde de termen ‘GDPR’, de 'General Data Protection Regulation' of 'Algemene Verordening Gegevensbescherming' meer hits in de Google searches dan de Amerikaanse popster Beyoncé. Die tijd ligt reeds ver achter ons. Dit neemt niet weg dat de privacytoezichthouders nu pas flink op de voorgrond zijn getreden. Hun optreden leidt tot rechtsonzekerheid voor de verdere digitale globalisering van diensten waar persoonsgegevens mee gemoeid zijn. De gevolgen van hun optredens en initiatieven worden steeds duidelijker voelbaar en verontrusten onze bedrijven.

Midden 2020 verklaarde het Hof van Justitie van de Europese Unie het Privacy Shield-mechanisme ongeldig. De privacy-activist Max Schrems had deze procedure ingeleid tegen Facebook, omdat hij van mening was dat gegevensdoorgiften naar de Verenigde Staten onvoldoende garanties boden op het vlak van gegevensbescherming. Het Privacy Shield was een mechanisme waardoor organisaties op eenvoudige wijze persoonsgegevens konden delen met een Amerikaanse partner of leverancier wanneer die partner Privacy Shield-gecertifieerd was.

De grotere Amerikaanse digitale spelers hadden een dergelijke certificatie, waardoor het voor Europese ondernemingen, zonder bijkomende (contractuele) maatregelen, mogelijk was om eenvoudig persoonsgegevens over te maken aan de commerciële partners of leveranciers. Typische voorbeelden zijn cloud opslag providers, direct marketingtools, technische toepassingen die gebruikt worden door software ontwikkelaars uit de EU, enz. De impact is dus groot en heel wat (kleinere) ondernemingen onderschatten de gevolgen van deze uitspraak.

De ongeldigverklaring van het Privacy Shield heeft ertoe geleid dat heel wat gegevensdoorgiften naar de Verenigde Staten plots onrechtmatig zijn en dus een schending van de GDPR inhouden. Het Hof van Justitie van de EU heeft nog een bijkomende voorwaarde gesteld, door organisaties op te leggen om een grondige risicoanalyse door te voeren vooraleer de gegevensdoorgiften kunnen gebeuren. Deze voorwaarde heeft een impact op iedere doorgifte naar een organisatie buiten de EU waar de EU geen afspraken in de vorm van adequaatheidsbesluiten mee heeft gemaakt.

Na de risicoanalyse zal de Europese organisatie of onderneming nog moeten voorzien in een passend mechanisme voor de gegevensdoorgiften, zoals de modelcontractbepalingen of bindende ondernemingsvoorschriften voor een ondernemingengroep. Dit vergt na de risicoanalyse nog bijkomende contractsonderhandelingen.

De brexit heeft er toe geleid dat het Verenigd Koninkrijk ook wordt beschouwd als een derde land. Bijgevolg zullen ondernemingen die persoonsgegevens delen met hun klanten of leveranciers uit het VK, eveneens een risicobeoordeling moeten uitvoeren en bijkomende maatregelen dienen te nemen. Gelukkig is er sprake – onder enig voorbehoud - van een adequaatheidsbesluit tussen de EU en het VK dat na de overgangsperiode van zes maanden in werking zou kunnen treden. Een adequaatheidsbesluit houdt in dat de Europese Commissie, na analyse van de wetgeving van een derde land, heeft besloten dat dit land een passend beschermingsniveau waarborgt. Is dit het geval, dan kunnen de data vrij verstuurd worden naar deze landen.

Niettegenstaande dat gegevensbescherming van groot belang is, kan het niet de bedoeling zijn dat digitalisering, globalisatie en vooruitgang worden gefnuikt. Het merendeel van de ondernemingen is bereid gebleken om de GDPR te implementeren, maar de internationale doorgifte van persoonsgegevens is een complex gegeven die vaak een stap te ver lijkt te zijn. Het bemoeilijken van de gegevensdoorgiften, zeker door de bijkomende vereiste van de risico-analyse, kan leiden tot gelatenheid of, slechter, het verhogen van de risico-appetijt.

Er is geen ontsnappen aan de GDPR: ondernemingen die niet gevestigd zijn in de EU, zullen ook alle principes en verplichtingen van de GDPR moeten naleven van zodra zij persoonsgegevens van EU-inwoners verwerken. In ieder geval is het moeilijker om de GDPR af te dwingen ten aanzien van buitenlandse ondernemingen, ook al voorziet de GDPR in enkele garantiemechanismen zoals het aanwijzen van een vertegenwoordiger.

Naast deze vaststellingen komen enkele vragen ten berde:

Wil Europa een de-globalisering van datastromen? Hoopt de EU dat Europese spelers zullen opstaan die de gevestigde waarden in dataopslag, marketingtools, enz. zullen vervangen? Zijn er überhaupt Europese spelers die de middelen hebben om dezelfde investeringen te maken of zijn de gevestigde Amerikaanse ondernemingen bereid om zich technologisch volledig af te splitsen om enige transfers buiten de EU uit te sluiten?

In bepaalde gevallen is het moeilijk om Europese alternatieven te vinden of snel en efficiënt te implementeren in de onderneming. Een al te stringente toepassing van de vereisten voor gegevensstromen kan enerzijds een negatieve impact hebben op de rol die Europese spelers zouden kunnen inkleden op het internationale toneel en op de investeringen in Europa. Anderzijds kan het ook leiden tot investeringen van de gevestigde waarden in Europa indien de baten de kosten overstijgen.

Kunnen de Europeanen niet beter inzetten op nieuwe technologische uitdagingen (AI, blockchain, cyberveiligheid, …) door voort te bouwen op wat bestaat? Kunnen we niet investeren in technologieën die datastromen en toegang tot data door onbevoegde(n) (overheden) kunnen beveiligen? Kunnen deze technologieën of ondernemingen niet gesteund worden zodat ze betaalbaar zijn voor iedere organisatie?

Op dit ogenblik lijkt een structurele, pragmatische en makkelijk implementeerbare oplossing voor ondernemingen, groot en klein, vereist te zijn om de digitalisering en datastromen op rechtsgeldige wijze te kunnen voortzetten zodat de Europese spelers via de grote poort hun digitale toepassingen kunnen exporteren.

Gegevensbescherming en privacy zijn grondrechten waar ieder individu over beschikt en waar ondernemingen rekening moeten mee houden bij het ontwerp van hun digitale toepassingen en datastromen. De wil om de basisprincipes van de GDPR te implementeren, is duidelijk aanwezig bij onze ondernemingen, maar het kan niet de bedoeling zijn om deze regelgeving al te stringent toe te passen zodat de digitale vooruitgang wordt afgeremd.

Europa maakt best zo snel mogelijk werk van mechanismen om internationale gegevensdoorgiften te faciliteren door ze praktisch werkbaar te maken voor alle types van ondernemingen in plaats van maatregelen te nemen die de activiteiten van de ondernemingen onnodig afremmen. Adequaatheidsbesluiten of gelijkaardig mechanismen met derde landen zoals het Verenigd Koninkrijk, de Verenigde Staten en andere landen waar onze sectoren actief zaken mee doen, zijn onontbeerlijk voor ambitieuze Europese spelers die de wereld als hun achtertuin willen kunnen beschouwen.

Was this article useful?