Toen de AVG in 2018 van kracht werd, werd de nieuwe, schitterende wet op gegevensbescherming geprezen als een verschuiving naar strengere handhaving, waardoor het fundamentele recht op gegevensbescherming in de EU niet alleen op papier bestaat. Ter gelegenheid van de Dag van de Gegevensbescherming van dit jaar, op 28 januari, heeft noyb een enquête gehouden onder meer dan 1000 professionals op het gebied van gegevensbescherming die bij Europese bedrijven werken. Dit leverde een uniek beeld van binnenuit op: 70% van de respondenten is van mening dat autoriteiten duidelijke besluiten moeten nemen en de AVG moeten afdwingen om naleving te garanderen, terwijl 74% zegt dat autoriteiten ‘relevante schendingen’ zouden ontdekken als ze door de deur zouden lopen van een gemiddeld bedrijf. In een poging om te evolueren naar ‘evidence-based handhaving’ laat dit onderzoek ook zien dat autoriteiten hun aanpak van handhaving fundamenteel zouden moeten veranderen om bedrijven ertoe te bewegen zich aan de regels te houden.
Toen deze in mei 2018 van kracht werd, beloofde de Algemene Verordening Gegevensbescherming (AVG) een verschuiving van de huidige 'zachte' benadering van gegevensbescherming naar serieuze handhaving. Om dit doel te bereiken heeft de EU-politiek de autoriteiten serieuze onderzoeksbevoegdheden gegeven en de mogelijkheid geboden om hoge boetes op te leggen. Volgens een nieuw noyb- onderzoek onder meer dan 1.000 professionals op het gebied van gegevensbescherming zijn de meeste deelnemers van mening dat de introductie van de AVG de manier waarop bedrijven met persoonlijke gegevens omgaan “aanzienlijk heeft verbeterd”, maar 74% zegt nog steeds dat als de autoriteiten daadwerkelijk een onderzoek zouden uitvoeren Bij onderzoek ter plaatse bij een gemiddeld bedrijf dat gebruikersgegevens verwerkt, zouden ze “relevante schendingen” aantreffen.
Max Schrems, erevoorzitter van noyb : “Het is uiterst alarmerend als 74% van de bedrijfsinterne gegevensbeschermingsprofessionals zegt dat de autoriteiten bij een gemiddeld bedrijf aanzienlijke overtredingen zouden constateren. Dergelijke cijfers zijn ondenkbaar als het gaat om het voldoen aan de belastingwetgeving of de brandveiligheidsregelgeving. Niet-naleving lijkt alleen de norm te zijn als het om de persoonsgegevens van gebruikers gaat.”
Om zoveel mogelijk inzicht te krijgen in de praktische toepassing van de AVG, bevatte het onderzoek van noyb 65 vragen over een scala aan onderwerpen op het gebied van AVG-compliance en -handhaving. Hierdoor konden we betrouwbare en objectieve gegevens verkrijgen over de interne dynamiek die gegevensbeschermingsfunctionarissen (DPO’s) ervan weerhoudt maatregelen te implementeren om de naleving van de AVG te versterken, evenals over externe factoren die bedrijven in de toekomst naar meer naleving zouden kunnen duwen. Dergelijke gegevens lijken cruciaal om het handhavings- en nalevingswerk te richten op strategieën die daadwerkelijk werken en het werk van interne DPO’s ondersteunen.
Bedrijven opereren vaak in een conflicterende ruimte tussen het nastreven van winst, de kosten om hun systemen AVG-compliant te maken en de verplichting om aan de wet te voldoen. Uit het onderzoek van noyb blijkt duidelijk dat DPO's onder druk staan om de naleving van de AVG te beperken in het belang van het bedrijfsleven: 46% van de respondenten zei dat verkoop en marketing hen actief onder druk zetten om de naleving te beperken, terwijl 32% zich onder druk gezet voelde door leden van het senior management. Het zal geen verrassing zijn dat het overtuigen van deze belanghebbenden om de noodzakelijke veranderingen door te voeren om de naleving te verbeteren ook behoorlijk moeilijk blijkt te zijn. Een schokkende 56% van de respondenten zei dat het moeilijk was om de marketingafdeling te overtuigen, terwijl 38,5% problemen had met het senior management. 51% zei ook dat het moeilijk is om leveranciers van buiten de EU/EER te overtuigen om conforme producten aan zakelijke klanten in de EU te leveren.
Max Schrems: “DPO’s worden geacht onafhankelijk te zijn en ervoor te zorgen dat de naleving binnen het bedrijf wordt nageleefd. In werkelijkheid melden velen van hen druk van verschillende kanten om prioriteit te geven aan zakelijke belangen.”
Het ernstige gebrek aan duidelijke handhavingsmaatregelen door de autoriteiten helpt DPO's niet om hun werk te doen. Volgens de resultaten van het onderzoek is de kans het grootst dat een bedrijf zijn naleving verbetert als het – of zelfs andere bedrijven – met aanzienlijke boetes worden geconfronteerd. 67,4% van de respondenten zegt dat beslissingen van de DPA tegen hun eigen bedrijf, waarbij een boete is opgenomen, besluitvormers zullen beïnvloeden om voor meer naleving te kiezen. Interessant genoeg zei 61,5% van de respondenten dat zelfs DPA-boetes tegen andere organisaties de naleving van de AVG door hun eigen bedrijf zouden beïnvloeden. Dit effect (“afschrikking”) is bekend en bestudeerd, maar wordt door de autoriteiten niet echt toegepast. Het volgende beste instrument lijkt de publicatie van besluiten te zijn. 52% geeft aan dat het reputatieverlies van een ander bedrijf al een positief effect heeft op de compliance van het eigen bedrijf. Veel autoriteiten publiceren hun besluiten momenteel echter niet (bijvoorbeeld Duitsland) of publiceren deze slechts selectief.
Max Schrems: “Het advies van databeschermingsprofessionals binnen bedrijven lijkt te zijn: 'leg hoge boetes op en maak ze openbaar'. De gebruikelijke aanpak waarbij wordt vertrouwd op ‘informele’ onderhandelingen tussen autoriteiten en bedrijven en op geheime procedures lijkt volgens insiders van bedrijven het minst effectief.”
Hoewel de autoriteiten aanzienlijke inspanningen, tijd en middelen investeren in het verstrekken van richtlijnen aan bedrijven, lijken deze grotendeels door bedrijven te worden genegeerd. 46% van de respondenten zei dat de EDPB-richtlijnen niet invloedrijk zijn, terwijl slechts 23% ze enigszins invloedrijk vond. Op dezelfde manier beoordelen insiders directe klachten bij bedrijven als niet erg invloedrijk. Dit in tegenstelling tot klachten bij gegevensbeschermingsautoriteiten en de informele afsluiting van zaken (momenteel de meest voorkomende beslissingsvorm). Ondanks alle aanwijzingen dat er dringend behoefte is aan strikte handhaving, vormen dergelijke acties van toezichthouders in de praktijk uitzonderingen. Dit kan eenvoudig worden geïllustreerd aan de hand van noyb ’s eigen werk: de meeste van onze ruim 800 zaken zijn al meer dan twee jaar aanhangig. Maar zelfs als je alleen zaken eruit pikt die noyb heeft gewonnen, zijn er slechts een handvol beslissingen waarin een boete is opgenomen. In ruim 800 gevallen hebben wij geen enkele instantie daadwerkelijk een inspectie ter plaatse bij een bedrijf zien uitvoeren.
Max Schrems: “De afgelopen jaren hebben de Europese autoriteiten talloze richtlijnen opgesteld, langdurige 'informele' gesprekken gevoerd met bedrijven en vervolgens zaken 'gesloten' zonder verdere actie. Afgaande op de feedback van compliance-functionarissen is dit helaas niet de beste besteding van belastinggeld.”
Hoewel het standpunt van insiders al alarmerend is, is het nog steeds optimistischer dan de gemiddelde ervaring van betrokkenen zou toestaan. Toen noyb bijvoorbeeld het recht op toegang tot persoonlijke gegevens uitoefende, werd meer dan 90% van de verzoeken niet volledig op tijd beantwoord. De meeste verzoeken worden simpelweg genegeerd. Ter vergelijking: 59% van de respondenten is van mening dat de meeste bedrijven “grotendeels” zouden voldoen aan de “kernregels” van de AVG. Uit praktijkervaring blijkt dat de mening van buitenstaanders wellicht nog slechter is dan die van insiders.
Als we de respondenten mogen geloven, is de enige realistische oplossing voor dit probleem duidelijk: strengere handhaving en duidelijkere beslissingen van de DPA en rechtbanken die bedrijven dwingen hun gegevensverwerking in overeenstemming te brengen. Een volledige en gedetailleerde lijst met voorgestelde acties is te vinden in het onderzoek. De resultaten tonen ook de dringende noodzaak aan om verder objectief bewijsmateriaal te verzamelen om ervoor te zorgen dat autoriteiten met beperkte middelen effectief handhavingswerk (kunnen) verrichten. Herhaalde benaderingen die niet werken, zullen niet leiden tot praktische veranderingen op de telefoons en computers van Europeanen. De data verzameld in ons onderzoek bieden een uitstekend startpunt voor verder onderzoek. noyb zal ook verder onderzoek doen.
