Data Privacy Day: in 2019 is het grote publiek écht wakker

Op 28 januari staan we traditiegetrouw stil bij het onderwerp ‘privacy’. Op die datum werd in 1981 het allereerste verdrag met betrekking tot regelgeving rondom privacy in Europa ondertekend. Inmiddels zijn we vele verdragen verder, en is het thema actueler dan ooit. Wat zijn de verwachtingen voor 2019?

Vorig jaar was het jaar van de invoering van de GDPR, de Algemene Verordening Gegevensbescherming (AVG), op 25 mei. Veel grote organisaties waren dat al een jaar of twee aan het voorbereiden en focussen zich nu weer op business as usual. Maar feitelijk kan niemand achteroverleunen als het gaat om privacy, want ook komend jaar zijn er nieuwe ontwikkelingen te signaleren.

1. Aandacht voor digitale ethiek

In 2018 lag de nadruk vooral op de privacy-regels. In 2019 zal het vaker en vaker gaan over de vraag of organisaties moreel het juiste doen met persoonsgegevens. Ik denk dat het geluid: “We mogen dit wel doen volgens de wet, maar willen we dit ook doen ten behoeve van onze klant?” sterker gaat klinken dan vorig jaar. Want ook al houd je je als bedrijf aan alle regels: als je het fout doet in de ogen van de maatschappij, kost het je je klanten en je reputatie. Het grote publiek is namelijk ook wakker geworden als het om privacy gaat.

2. Privacy-vraag sneller gesteld

Toen Facebook werd opgericht, stelde niemand vragen over de privacy van de gebruikers ervan. Het bewustzijn is dus wel degelijk vergroot. Mede daardoor gaat de privacy-vraag bij elke nieuwe technologie die wordt ontwikkeld, steeds meer en steeds sneller gesteld worden. Dit jaar verwacht ik veel van dat soort – specifieke – vragen de revue te zien passeren. Artificial intelligence, augmented reality, the Internet of Things: hoe zit het daarbij met onze privacy? Je stapt in een slimme auto die communiceert met elke lantaarnpaal die je tegenkomt, dus de overheid weet elk moment van de rit waar jij je bevindt. Wat vinden we daarvan?

3. (Nog) geen torenhoge boetes in Nederland

In 2018 was iedereen bezig met de torenhoge boetes die zouden worden opgelegd bij overtreding van de nieuwe regels, tot wel vier procent van de mondiale jaaromzet van een bedrijf. Maar we hebben nog helemaal geen hoge boetes gezien. Sterker: ik denk dat die er in 2019 in Nederland ook niet gaan komen, hoogstens pas tegen het einde van het jaar. Ten eerste moet het feit waarvoor een organisatie beboet wordt plaatsgevonden hebben na 25 mei 2018. Ten tweede moet de toezichthouder een gedegen, langdurig onderzoek uitvoeren en de beslissing om te beboeten minutieus motiveren. Let wel: de toezichthouder zit niet stil. Er is sowieso sprake van een verduidelijking van de regels: wat staat er nu echt? In Duitsland vond op 25 mei vorig jaar wel meteen de eerste rechtszaak plaats. En er zullen dit jaar interessante uitspraken van het Europese Hof op het gebied van toezicht komen. Zo gaan we te horen krijgen of we gegevens met de VS mogen blijven uitwisselen.

4. ePrivacy Richtlijn op de schop

Bovendien bestaat er naast de AVG nog zoiets als de ePrivacy Richtlijn. Deze richtlijn stamt uit 2002 en gaat op de schop. Op dit moment liggen de ontwikkelingen even stil in verband met de Europese verkiezingen komend jaar, maar ik verwacht wel dat dit jaar nog bekend gemaakt wordt hoe de vernieuwing van de richtlijn er definitief uit gaat zien. En die vernieuwing zal voor behoorlijk wat organisaties net zo veel impact hebben als de AVG. Nu gelden veel regels in de richtlijn nog alleen specifiek voor telecommunicatiediensten, terwijl zogeheten ‘over the top’-aanbieders niet aan de wet onderhevig zijn. Maar naar alle waarschijnlijkheid gaan voor hen onder het nieuwe regime dezelfde regels gelden. Ook zullen de regels omtrent cookies naar verwachting wijzigen. Dat heeft consequenties voor alle organisatie die met e-commerce werken. Dus houd het in de gaten: de aanpassing van de richtlijn heeft weliswaar vertraging opgelopen, maar is zeker niet van de baan.

5. Grotere rol internationale ontwikkelingen

Met uitzondering van China zijn staten wereldwijd bezig met regelgeving omtrent privacy, geïnspireerd door de AVG. Zelfs in Amerika, dat toch niet bekendstaat om de  uitgebreide aandacht voor de privacy van burgers, zijn ze aan het praten over een soort GDPR. In Californië wordt zo’n wet in 2020 als eerste van kracht. En als Amerika gaat regelgeven en handhaven, dan merken we dat hier ook. Mede vanwege alle nieuwe technologieën die daar – zeker in Californië – worden uitgewerkt.