Data Privacy Day: 2017, het jaar van de stilte voor de storm

Data Privacy Day? Ja zeker, sinds 1981 staan we op 28 januari stil bij het onderwerp privacy. Toen werd het eerste verdrag met betrekking tot regelgeving rondom privacy in Europa ondertekend. Voor het 36e jaar op rij wordt met Data Privacy Day extra aandacht gevraagd voor privacy en de bescherming van persoonsgegevens. Het onderwerp lijkt met iedere technologische ontwikkeling actueler te worden. Hoe gaat het privacylandschap er komend jaar uitzien?

Privacy en beveiliging van persoonsgegevens, het werd in 2016 nóg relevanter. Gehackte stemcomputers bij de verkiezingen in de VS, medische gegevens op straat, de zogenaamde tapwet, Pokemon Go dat voor de uitgever een geweldige manier van persoonlijke data opslag bleek etcetera. Ook zijn er veel positieve ontwikkelingen: encryptie voor berichtenservice Whatsapp, de meldplicht datalekken, het boek ‘Je hebt wel iets te verbergen’ van Maurits Martijn en Dimitri Tokmetzis dat het onderwerp voor burgers een stuk begrijpelijker maakt.

Volgens experts zal 2017 een jaar van stilte voor de storm zijn, tenzij er grote incidenten (verkiezingen, klokkenluiders etcetera) gaan plaatsvinden. Een tussenjaar voordat grote veranderingen via de overheid worden afgedwongen. Dat betekent echter niet dat je nu lui achterover kunt leunen, dit is juist het moment voor actie!

Wat zijn de trends in 2017 en hoe kunnen we hier op inspelen?

1. De invoering van de GDPR in 2018. Wat kun je dit jaar verwachten van de nieuwe verordening?

Vanaf 25 mei 2018 gaat de GDPR (General Data Protection Regulation) in. Dit is Europese regelgeving die op Europees niveau bindend is voor het bewaren en opslaan van persoonsgegevens. Afgelopen jaar werd de tekst ervan definitief en komend jaar wordt er een slag geslagen met de interpretatie ervan. Naar verwachting komt er veel meer toezicht op de handhaving van deze wet en de hoogte van de boetes is zeker niet mis. Zo hoopt men meer gewicht aan het onderwerp te geven. Ondernemers moeten in 2017 alvast op bestuursniveau nadenken over hun privacystrategie en transparantie.

Gaat de GDPR onze data-uitwisseling met de Verenigde Staten beïnvloeden? Zeker, helemaal onder leiding van Trump. Hij heeft het Trans-Pacific Partnership (TPP) vrijhandelsverdrag al van tafel geveegd. De positie van Europa op het gebied van data-uitwisseling verandert de komende jaren sterk door op handen zijnde handelsverdragen en politieke besluitvorming. Overal in Europa dezelfde wetgeving versterkt de positie van Europa in het algemeen en het geeft ook aan dat Europa privacy serieus neemt.

2. Handhaving door de vernieuwde Autoriteit Persoonsgegevens (AP) en guidance van Artikel 29 werkgroep

Onduidelijkheid over de veranderde regelgeving is de komende periode de grootste uitdaging voor bedrijven. Er is het afgelopen jaar namelijk veel gesproken over vernieuwing van de privacyregels door de wetgever.

Naast de GDPR werd in 2016 ook de meldplicht datalekken geïntroduceerd in Nederland. Ook kreeg de AP een nieuwe voorzitter, ruimere boetebevoegdheden én een nieuwe naam. Na deze vernieuwingen is het nu de vraag of dit ook een verandering met zich mee gaat brengen met betrekking tot handhaving. Grote boetes zijn vorig jaar uitgebleven maar wellicht komt daar dit jaar verandering in.

Ook de Artikel 29 werkgroep, het onafhankelijke advies – en overlegorgaan van Europese privacytoezichthouders krijgt een steeds zichtbaardere rol. Deze werkgroep geeft advies over bescherming van de persoonsgegevens, de nieuwe Europese privacyregelgeving, het beschermingsniveau van derde landen, gedragscodes op Europees niveau en zorgt voor steeds meer duiding en afbakening van de nieuwe regels.

Bedrijven geven aan dat door deze verandering in regelgeving de compliance-druk hoog is en er teveel grijze ruimte is. Transparantie en duidelijkheid over de regelgeving is belangrijk, zodat iedereen de regels op de juiste manier naleeft.

3. De e-Privacyverordening gooit de bestaande cookieregelgeving op de schop

Veel websitebeheerders klagen steen en been over de huidige cookiewetgeving, gebruikers mogen websites niet op als ze cookies niet accepteren, een cookiewall maakt dat onmogelijk. Daar zou verandering in moeten komen met de e-Privacy verordening die ook voor heel Europa gaat gelden. Het voorstel is nog in behandeling bij de Europese Commissie.

De belangrijkste veranderingen: er hoeft geen toestemming meer gevraagd te worden voor standaardfunctionaliteiten, zoals onder anderen sessie-cookies en winkelmandjes cookies, die noodzakelijk zijn om een website te laten draaien. Websites kunnen simpelweg niet functioneren zonder cookies. Voor cookies van derde partijen en tracking cookies zal nog wel toestemming gevraagd moeten worden.

Het vertrouwen in partijen die websites en data beheren wordt daarbij wel steeds belangrijker; gemak versus risico speelt een grote rol. In 2017 zien we nog dat de consument niet alleen geïnformeerd wil worden over data dat opgeslagen wordt, maar ook over wat de randvoorwaarden van data-opslag zijn. Consumenten willen zelf bepalen wat ze vinden van data-opslag, profiling en tracking.

4. Internationale gegevensverwerking gaat veranderen

 Vorig jaar werd in de rechtbank het voorstel voor het privacyverdrag Safe Harbor ongeldig verklaard. Hierdoor kunnen Amerikaanse bedrijven niet langer op grond van Safe Harbor garanderen dat gegevens voldoende beschermd zijn. In plaats van Safe Harbor werd het zogenaamde EU-US Privacy Shield aangenomen. Dit biedt juridische grondslag voor de opslag en verwerking van persoonsgegevens van Europese burgers in de Verenigde Staten. Een verdrag is noodzakelijk omdat de VS en Europa andere regelgeving hanteren omtrent de omgang met persoonsgegevens.

De reden dat Safe Harbor ongeldig werd verklaard heeft onder andere te maken met de positie van overheidsorganen als de NSA, die vrij en onbeperkt toegang wil hebben tot deze data. Ook bij het nieuwe Privacy Shield geldt deze kritiek en het blijkt ook geen heilig middel om veilige omgang met gegevens te garanderen. Goed nieuws zijn de onderhandelingen met Japan en Zuid-Korea, die wellicht als adequate countries aangemerkt gaan worden. Daardoor zijn het als het ware EU-landen als het gaat om data-uitwisseling, wat het meteen laagdrempeliger maakt om met deze landen te handelen.

Er zijn veel zorgen over Brexit en de gevolgen hiervan. De onderhandelingen over de uitvoer van Brexit zijn nog in volle gang en de vraag is of daar dit jaar meer duidelijkheid over komt. Tot de Brexit definitief is, gaan we er vanuit dat de Verenigd Koninkrijk de Europese regelgeving zal blijven implementeren. Ook de invoering van het GDPR zou voor alle partijen de meest gunstige situatie zijn. De UK kan bij een Brexit uiteindelijk net als Japan en Zuid-Korea kiezen voor de adequate country optie. Brexit blijft een onzekere factor voor bedrijven die werken met partijen in de UK, Nederland en Europa.

5. Nieuwe technologie zorgt voor een andere vorm van data-opslag

 Met de komst van innovaties, gadgets en technieken komen we op privacygebied ook voor nieuwe uitdagingen te staan. Tijdens de grootste gadgetbeurs CES (Consumer Electronics Show) werd Amazon’s persoonlijke assistent Alexa uitgeroepen tot grootste innovatie. Mooie technologische vooruitgang, maar ook nieuwe en vergaande mogelijkheden tot het verzamelen van zeer gevoelige data.

Een andere ontwikkeling is die van chatbots. Steeds meer klantenservicesystemen maken hier gebruik van. Chatbots zijn soms niet van echte mensen te onderscheiden. Om zo te functioneren moeten die continu gevoed worden met data. Waar komt de input hiervoor vandaan? Wordt er data gebruikt van mensen die de klantenservice benaderen? Standaard scripts volstaan immers niet meer, we willen via het internet een custom made oplossing. Hier gaan we op het gebied van privacy nog veel leren de komende tijd.

*) Dit artikel is tot stand gekomen met de medewerking van Hugo Atzema van Deloitte.