Europese wet gegevensbescherming functioneert maar uitvoering moet beter
De Europese Commissie heeft vandaag haar lang verwachte evaluatierapport over de Algemene Verordening Gegevensbescherming (AVG) gepresenteerd. Twee jaar na de invoering is het tijd om de balans op te maken en te kijken wat er beter kan. CDA-Europarlementariër Jeroen Lenaers: “Het is sowieso bijzonder dat deze wetgeving nu al de bekendste Europese wetgeving ooit zou kunnen zijn, binnen én buiten Europa. Het laat zien dat de Europese Unie op het gebied van databescherming en privacy kilometers ver vooroploopt op de rest van de wereld.”
Maar wat de handhaving van de AVG betreft is er nog duidelijk werk aan de winkel. “Vele nationale Autoriteiten Persoonsgegevens (AP) pleiten voor meer staf en middelen om de handhaving goed te kunnen doen. Ongewenste bijwerking van de AVG is dat veel data-experts bij overheden zijn vertrokken en een beter betaalde baan in de zakenwereld hebben gevonden,” zegt Lenaers.
Daarnaast is er volgens Lenaers een onbalans tussen de handhaving op nationaal niveau en de internationale manier van dataopslag. “Ik ben blij dat de Europese Commissie me hier nu gelijk in geeft. Persoonsgegevens van miljoenen Europeanen liggen opgeslagen bij grote techbedrijven die gevestigd zijn in Ierland. De verantwoordelijkheid van de Ierse Autoriteit Persoonsgegevens is dus enorm, niet alleen voor de Ieren zelf maar voor ons allemaal. Ik vraag me dus af of dat niet een té zware last is om te dragen voor één enkele nationale handhaver, zeker gezien ze moeten opboksen tegen de enorme middelen die de grote techreuzen beschikbaar hebben. De vraag is of we niet meer de handen ineen moeten slaan op Europees niveau.”
Een ander punt van zorg is een onderbenut onderdeel van de wetgeving over gedragscodes. Een belangrijk instrument om in sectorspecifieke situaties juridische duidelijkheid te krijgen. Lenaers: “Slechts acht lidstaten hebben aan de wettelijke verplichtingen voldaan om gedragscodes te kunnen keuren – 19 lidstaten, waaronder Nederland, nog niet. Vier jaar na de inwerkingtreding en twee jaar na de verplichte toepassing van de wetgeving is dat onacceptabel. Verschillende sectoren als de medische sector, uit angst voor enorme boetes, neigen de wetgeving té restrictief te interpreteren, wat een negatief effect heeft op de kwaliteit van zorg. Een door de Autoriteit Persoonsgegevens goedgekeurde gedragscode zou ze de broodnodige rugdekking geven, maar vooralsnog staan ze er alleen voor.”