De GDPR is van kracht sinds 25 mei 2018. Na twee jaar is de balans nogal gemengd. De hoop van vele “weigeraars” dat er ondanks de dreiging geen sancties zouden volgen, is niet bevestigd. Niet iedereen heeft echter de General Data Protection Regulation geïmplementeerd.
De GDPR heeft van meet af aan furore gemaakt. Hoewel de EU-burgers blij waren met een betere gegevensbescherming, leidden de begeleidende maatregelen van bedrijven, waarbij meestal met een handtekening of e-mail moest worden bevestigd dat gegevens mochten worden opgeslagen, ook al snel tot geërgerde klanten.
Aan de kant van de bedrijven kwam de DSGVO als een grote verrassing, zo had men de indruk. De verordening is al sinds april 2016 van kracht en moet vanaf 25 mei 2018 definitief ten uitvoer worden gelegd. Toch hebben veel bedrijven er pas op de laatste dag voor de deadline aan gedacht. Vaak werd alleen het “hoogstnoodzakelijke” gedaan om althans enigszins aan de verordening te voldoen. De hoop ontstond dat geen enkele autoriteit het zou merken en dat de boetes slechts dreigementen zouden zijn. Volgens de digitale vereniging Bitkom kon zelfs na één jaar slechts 25 procent van de Duitse bedrijven aantonen dat zij volledig aan de DSGVO voldoen.
Miljoenen aan boetes
Het is intussen duidelijk dat er inderdaad boetes zullen worden opgelegd. Volgens Veritas hebben tot nu toe ten minste 234 bedrijven de GDPR op zo’n grote schaal geschonden dat gegevensbeschermingsautoriteiten in Europa hen boetes van meer dan 467 miljoen euro hebben opgelegd. Alleen al in Duitsland werden vorig jaar 187 boetes opgelegd, die opliepen tot meer dan 25 miljoen euro.
Volgens een onderzoek van advocatenkantoor DLA Piper zijn er sinds de invoering van de GDPR in de 28 EU-lidstaten en in Noorwegen, IJsland en Liechtenstein ongeveer 160.000 datalekken gemeld. In de afgelopen twaalf maanden is het aantal gemelde datalekken met meer dan twaalf procent gestegen, aldus het rapport.
De verordening verplicht bedrijven ook om datalekken aan de autoriteiten te melden. Sinds mei 2018 zijn er in dit land meer dan 21.000 van dergelijke incidenten geweest. Het aantal niet-gemelde gevallen kan vele malen hoger liggen, omdat waarschijnlijk niet iedereen aan de meldingsplicht zal voldoen en incidenten liever verzwijgt. Uit de bevindingen van Veritas blijkt dat sommige bedrijven overbelast zijn met de taak hun gegevens volledig te beheren en met name de toegang tot persoonsgegevens strenger te controleren. Interne processen zijn dan te fragmentarisch en de verantwoordelijken zien belangrijke gegevensbronnen over het hoofd waar persoonsgegevens zouden kunnen liggen.
DSGVO blijft een uitdaging
Het bedrijfsleven ervaart de regels voor gegevensbescherming steeds meer als een uitdaging, zo blijkt uit een onderzoek van Bitkom. Acht van de tien bedrijven (79%) zien de eisen inzake gegevensbescherming momenteel als de grootste hinderpaal bij het gebruik van nieuwe technologieën. In het voorgaande jaar zei slechts driekwart (74 %) dit, in 2018 zelfs niet twee derde (63 %).
Het conflict tussen de GDPR en de Amerikaanse Cloud Act, waaraan de clouddiensten van Amerikaanse aanbieders zijn onderworpen, blijft onopgelost. Veel deskundigen zijn van mening dat alleen bepaalde gegevens bij dergelijke diensten mogen worden opgeslagen vanwege de toegangsmogelijkheden van de Amerikaanse overheid; anderen gaan nog een stap verder en zijn van mening dat de GDPR en de Amerikaanse Cloud Act elkaar fundamenteel uitsluiten. Als bedrijven gebruik maken van Amerikaanse clouddiensten, bevinden zij zich permanent in een grijs gebied. Daarom eist Tobias Gerlinger, CEO van OwnCloud: “We hebben eindelijk duidelijke uitspraken nodig van onze topambtenaren voor gegevensbescherming over welke platforms voor welke gegevens mogen worden gebruikt en welke niet – net zoals de federale commissaris voor gegevensbescherming en vrijheid van informatie deed toen hij het gebruik van WhatsApp bij de federale autoriteiten verbood. Zonder duidelijke richtlijnen is het voor bedrijven moeilijk om consequent aan de GDPR te voldoen.”
Een andere grote uitdaging is volgens Gerlinger het tijdig wissen van persoonsgegevens. Zijn ervaring is dat dit in de praktijk nog veel te zelden gebeurt. Enerzijds is dit te wijten aan het feit dat het vaak ontbreekt aan een passende categorisering van de gegevens. Anderzijds is er vaak een gebrek aan geschikte softwareondersteuning voor geautomatiseerde verwijdering.