Data Privacy Day: vijf voorspellingen voor privacy in 2022

Happy Data Privacy Day 2022! Op deze dag in 1981 werd tussen de landen van de Raad van Europa het eerste moderne privacyverdrag gesloten. Daardoor is 28 januari in Europa, maar eigenlijk ook wereldwijd, uitgegroeid tot een dag waarop aandacht voor privacy wordt gevraagd. Voor ons altijd een goede reden om vooruit te blikken: hieronder vijf privacyvoorspellingen voor 2022!

Nieuwe regels voor cookies

Al aan het begin van het vorig decennium is ons beloofd dat er per 2016 nieuwe regels zouden komen rondom cookies. Eindelijk zouden in heel de EU daarvoor dezelfde regels gaan gelden. Daarmee, zouden we ook eindelijk verlost worden, althans dat is de hoop,  van de eindeloze stroom cookie-toestemming-pop-ups op websites. Maar 2016 kwam en men kon het niet eens worden over de regels. 2017, ’18, ’19, ’20 en ’21 kwamen en gingen en we durfden niet te voorspellen wanneer dit dossier rond zou zijn. 

Tot dit jaar! Dit jaar durven we het aan: de ePrivacy Verordening zal in 2022 worden aangenomen en kort daarop van kracht worden. De regels gaan dus veranderen. Vermoedelijk wordt specifieker omschreven hoe toestemming gevraagd moet worden voor cookies en aanverwante technieken om mensen over het internet te volgen (bijvoorbeeld dat de buttons voor ‘wel toestemming’ en ‘geen toestemming’ geheel gelijk gepresenteerd moeten worden). Vermoedelijk zal de handhaving wijzigen, net zoals de hoogte van de boetes bij overtredingen. De vraag is of dit nog op tijd komt, of als mosterd na de maaltijd, nu al sinds een aantal jaar klinkt dat cookies voor advertentiedoeleinden afgeschaft gaan worden.

Meer bescherming tegen digitale technologie

Vlak na haar aantreden eind 2019 heeft de Europese Commissie bekendgemaakt welke zes prioriteiten ze oppakt gedurende de periode 2019 – 2024. Een van die zes prioriteiten draagt de naam A Europe Fit for a Digital Age en ziet toe op hoe wij in de Europese Unie digitale technologieën gaan ontwikkelen en reguleren. Op dat laatste vlak zien we nu de eerste resultaten: verordeningen en richtlijnen (dus: Europese wetgeving) op gebieden zoals Artificial Intelligence(AI), robots, digitale markten en dienstverlening. Feitelijk dus op alle gebieden waar we digitale technologieën inzetten. 

De voorspelling op dit gebied voor 2022 is dat we een discussie gaan krijgen over de interactie tussen privacy en andere grondrechten die beschermd gaan worden door deze nieuwe regelgeving. Zo vragen alle regels, inclusief privacy, dat organisaties transparant moeten zijn – maar kunnen wij zoveel transparantie wel aan, of krijgen we een overvloed aan informatie te verstouwen en zien we door de transparante bomen het bos niet meer? En als we robots gaan inzetten die veel zelfstandiger zijn dan de huidige generatie, die ook dingen ‘zien’ met hun camera’s en dat massaal opslaan… dan hebben we daar robotwetgeving voor die onze fysieke veiligheid garandeert, maar hoe zit het met onze privacy? Doordat veel nieuwe EU regels in 2022 hun definitieve vorm krijgen, zullen wij meer en meer geconfronteerd worden met dit soort vraagstukken. 

Privacy: de overheid is aan zet 

Privacy is niet iets dat alleen speelt bij advertenties, of daar waar nieuwe technologieën ingezet worden. Het speelt ook een belangrijke rol in de relatie tussen burger en overheid. We hebben de afgelopen jaren behoorlijk wat uitglijders van de overheid gezien op het gebied van privacy. Denk aan zwarte lijsten en het SyRI systeem. Er liggen dus kansen genoeg voor de overheid om in toekomstige dossiers te laten zien dat privacy wel mee telt. 

Neem bijvoorbeeld rekeningrijden. Het nieuwe kabinet wenst dat per 2030 in te voeren en dat betekent dat je nu al moet beginnen met het ontwerp van dat systeem. Een typisch voorbeeld van iets wat je heel privacyvriendelijk, maar ook heel privacy-onvriendelijk uit kunt voeren. Ga maar na: je kunt kiezen voor een systeem waarbij je als overheid alleen maar de gereden kilometers in een bepaalde periode te weten krijgt (privacyvriendelijk) of je kunt een systeem ontwerpen waarbij je als overheid de exacte details krijgt over welk voertuig wanneer waar gereden heeft (privacy-onvriendelijk). 

Een ander voorbeeld is onze digitale identiteit. De wetgeving en middelen komen eraan waarmee we steeds beter in een online omgeving vast kunnen stellen wat iemands echte identiteit is. Vervolgens komt dan de neiging dat we ons dan ook maar overal online moeten identificeren, terwijl veel zaken toch echt anoniem of zonder geverifieerde identiteit kunnen. Er ligt daarom ook een belangrijke taak  bij de overheid om te zorgen dat zij niet alleen bij haar interactie met burgers zorgt dat deze grens bewaakt wordt, maar ook dat dit middel niet te pas en te onpas ingezet wordt door anderen, waar we ook prima zonder kunnen. 

Privacyregelgeving als Europees exportproduct

Het al een tijdje een trend, maar deze zal mogelijk in 2022 wel haar hoogtepunt kunnen beleven: steeds meer landen buiten de EU nemen privacy wet- en regelgeving aan die heel erg veel lijkt op onze AVG. We zien dit terug in het Midden-Oosten, in Azië in landen als Zuid-Korea en India en bijvoorbeeld ook in Australië dat haar huidige wet wil moderniseren en in lijn wil brengen met de AVG. Uit al die landen verwachten we in 2022 privacynieuws op het gebied van regelgeving. Om een aantal redenen is dit een gunstige ontwikkeling. Voor de mensen in die landen kan in de meeste gevallen gesproken worden van een vooruitgang in de bescherming van hun privacy. Daarnaast is het feit dat anderen het overnemen,  een signaal van erkenning van wat wij hier in de EU doen. Tenslotte gaat het makkelijker worden om met die landen persoonsgegevens uit te wisselen, omdat we het eens zijn over hoe we met deze gegevens om gaan. 

Wat niet verandert in 2022: in de Verenigde Staten zal dit jaar nog geen overkoepelende AVG-stijl privacywetgeving worden aangenomen. Men praat er daar meer over dan ooit, maar de tijd is er nog niet rijp voor. Althans dat is onze voorspelling. En ook vanuit het Verenigd Koninkrijk verwachten wij minder privacyvriendelijk nieuws. Voor Brexit was de AVG ook in de VK van toepassing maar het land dreigt nu die standaard los te laten, onder het mom van stimulatie voor innovatie. 

Handhaving door het publiek

Hoe privacy wet- en regelgeving te handhaven is een onderwerp dat steeds vaker de gemoederen bezig houdt. De Autoriteit Persoonsgegevens, de overheidsorganisatie die belast is met deze handhaving, kampt al jaren met een mensen- en middelen tekort. Dat leidt tot onvrede en schijnbare willekeur in de handhaving. Als een autoriteit moet kiezen waar wel gehandhaafd wordt en waar niet,  zullen daar altijd klachten over zijn. Tegen deze achtergrond zien we steeds meer dat organisaties en individuen zelf proberen hun privacyrechten te verdedigen. Bijvoorbeeld door vermeende overtredingen van de AVG rechtstreeks bij de rechter aan te kaarten. De afgelopen jaren zagen we al dat er een massaclaim tegen Salesforce en Oracle werd ingediend (door de rechter in december 2021 afgewezen) en ook tegen de GGD (nog in behandeling). 

Voorspelling één op het gebied van handhaving: in 2022 zullen nog tenminste 3 van dit soort zaken worden opgestart. Voorspelling twee op het gebied van handhaving: van alle claims die lopen of starten, zal er tenminste eentje gaan slagen. Maar dat duurt nog even en dus weten we einde van dit jaar meer. Of wordt het net 2023? De tijd zal het leren!

Over de auteur: Jan-Jan Lowijs werkt als privacy expert bij Deloitte.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.