Grenseffectenrapportage 2017
Vooronderzoek 2: Algemene Verordening Gegevensbescherming in Limburg
Volledig dossier
Het hele dossier is hier beschikbaar in het Nederlands en Engels.
- Cross-Border Impact Assessment 2017: Preliminary research on GDPR
- Grenseffectenrapportage 2017: Vooronderzoek over AVG
Ex-ante analyse van de effecten van de Algemene Verordening Gegevensbescherming in Limburg
Studentenproject door Martin van Rooij, Universiteit Maastricht
Inleiding
In dit project heeft een student van de Universiteit Maastricht een vooronderzoek gedaan naar de bekendheid van de EU Algemene Verordening Gegevensbescherming in Limburg. Het doel was om na te gaan of het al mogelijk is om ex ante het effect ervan op bedrijven in de grensregio in te schatten. De General Data Protection Regulation,[1] hierna GDPR genoemd, omvat grote veranderingen in de procedures voor gegevensverwerking voor publieke en private organisaties binnen de EU en kan vanwege het brede en extraterritoriale toepassingsgebied ook van toepassing zijn op organisaties in het buitenland. De GDPR omvat een breed scala aan veranderingen met betrekking tot de beveiliging van persoonsgegevens in de EU. Aangezien de verordening op 25 mei 2018 in werking treedt, moeten ondernemingen en overheidsinstanties zich voorbereiden op de deadline.
Doel van de GDPR
Na jaren van voorbereiding keurde het EU-parlement op 14 april 2016 de GDPR goed ter vervanging van Richtlijn 95/46/EG inzake gegevensbescherming. Als verordening werd de GDPR ontworpen om de wetten inzake gegevensbescherming in de hele Europese Unie te harmoniseren. De GDPR bevat echter een aantal open clausules, die de lidstaten speelruimte geven met betrekking tot de exacte implementatie van specifieke bepalingen van de GDPR. Bovendien raakt de GDPR aan verschillende nationale rechtsstelsels, wat kan leiden tot verschillende juridische resultaten in verschillende lidstaten. Daarom is en zal de implementatie van de GDPR niet volledig consistent zijn in de hele EU. De vraag is of deze discrepanties tot onzekerheden kunnen leiden voor organisaties met meerdere grensoverschrijdende activiteiten.
In het bijzonder probeerde het onderzoek een voorlopig beeld te schetsen van de mogelijke effecten die de GDPR heeft en zal hebben op het Nederlandse bedrijfsleven in de grensregio van de Nederlandse provincie Limburg. Volgens de formulering in de GDPR richt de verordening zich op: het versterken van de rechten van individuen; het versterken van de interne markt van de EU; het zorgen voor een betere handhaving van de regels; het stroomlijnen van internationale doorgiften van persoonsgegevens en het vaststellen van wereldwijde normen voor gegevensbescherming.
Doel van de GDPR
Het belangrijkste argument voor een coherente EU-brede aanpak van gegevensbescherming is het ontwarren en harmoniseren van de verschillende regels en voorschriften die in de hele Unie zijn ontstaan. De ideale situatie voor bedrijven in elk land is een gemeenschappelijke aanpak zonder administratieve lasten, zoals wordt beschreven in de doelstellingen van de Commissie: “Organisaties zullen slechts te maken hebben met één nationale gegevensbeschermingsautoriteit in het EU-land waar ze hun hoofdvestiging hebben. Evenzo kunnen mensen zich wenden tot de gegevensbeschermingsautoriteit in hun land.”[2] Enkele van de basisverplichtingen van de verordening hebben onder meer betrekking op de benoeming van een functionaris voor gegevensbescherming in specifieke gevallen, de erkenning van bindende bedrijfsvoorschriften en modelclausules voor de doorgifte van persoonsgegevens naar landen buiten de EU als een van de middelen om persoonsgegevens door te geven van de EU naar derde landen en de invoering van een regeling voor de erkenning van gedragscodes.
De bevindingen zijn gebaseerd op interviews met bedrijfsmanagers in de regio en experts op het gebied van de GDPR in Limburg. In totaal werden 23 interviews afgenomen. Vanwege de gevoelige informatie die werd besproken, stemden alle geïnterviewden in met deelname op voorwaarde dat hun commentaar anoniem zou worden besproken.
Hoewel de GDPR een verordening is en dus in de hele EU harmonieus moet worden toegepast, bieden veel bepalingen nationale wetgevers de mogelijkheid om uitzonderingen op de regel toe te passen, die zijn opgenomen in zogenaamde openingsclausules in de GDPR. Dergelijke verschillen tussen landen vormen een potentieel obstakel…. De naleving van de regels voor gegevensbescherming is dus een controversieel onderwerp voor zowel bedrijven als deskundigen. De 23 kwalitatieve interviews met vertegenwoordigers van bedrijven en experts op dit gebied[3] waren slechts een kleine selectie van de vele bedrijven waarmee contact werd opgenomen. Velen weigerden mee te werken aan dit onderzoek. Het is waarschijnlijk dat de bedrijven die niet wilden praten over de mate waarin ze voldoen aan de regels voor gegevensbescherming, zich realiseren dat hun normen onder de maat zijn.
Resultaten van de interviews
Misschien wel het meest opvallende aspect dat veel experts in het veld tot nu toe naar voren brachten, is het gebrek aan implementatie van de GDPR in alle verschillende sectoren. Op het moment van de interviews hadden bedrijven minder dan een jaar de tijd voordat de GDPR in de hele EU van toepassing werd. Een van de redenen waarom bedrijven geen haast leken te maken met de vereiste veranderingen is dat ze niet voldeden aan het huidige wettelijke regime dat voorafging aan de GDPR.
Anderen begonnen met het creëren van bewustzijn, wat betekent dat ze begonnen met de implementatie, wat leidt tot naleving op de langere termijn. Dit waren voornamelijk nieuwere bedrijven die actief zijn in de online mediasector en dus dichter bij het actuele debat staan. Op de vraag naar de uitzonderingen die verschillende lidstaten toestaan om de GDPR op verschillende manieren te implementeren, leek geen van de respondenten zich zorgen te maken. In feite gaven de respondenten aan dat de huidige richtlijn veel meer uitzonderingen met zich meebrengt, wat hen er niet van weerhoudt om grensoverschrijdend handel te drijven.
De voorstudie was ook bedoeld om bedrijven te vragen naar hun positieve verwachtingen en de voordelen van de verordening. Door het bovengenoemde gebrek aan bewustzijn van de ondervraagde bedrijven konden zij niet goed zelf beoordelen of de verordening gunstig zal zijn voor hun bedrijf. Een aspect dat naar voren werd gebracht, was dat de samenwerking van bedrijven met andere bedrijven van invloed zou kunnen zijn, aangezien de handhaving door de gegevensbeschermingsautoriteiten nog steeds niet erg grondig is. Vooral Duitse bedrijven zijn zich veel meer bewust van privacyproblemen en zouden daarom in de toekomst potentiële zakenpartners kunnen afwijzen als ze niet hetzelfde niveau van gegevensbescherming nastreven.
Het gebrek aan voorbereiding is reden tot bezorgdheid, aangezien verwacht kan worden dat een meerderheid van de bedrijven in de regio niet zal voldoen aan de GDPR naarmate de deadline dichterbij komt. Het was ook interessant om te zien dat geen van de ondervraagde bedrijven contact had gehad met de bevoegde gegevensbeschermingsautoriteit. Aangezien de lidstaten enige vrijheid hebben met betrekking tot een aantal specifieke aspecten van de tenuitvoerlegging van de GDPR, werd verwacht dat er zich problemen zouden kunnen voordoen met betrekking tot de samenwerking met grensoverschrijdende bedrijven. Geen van de respondenten beweerde echter enig nadeel te ondervinden. Experts zeggen dat het zou kunnen komen doordat ze zich nog niet de volledige effecten en het allesomvattende toepassingsgebied van de verordening realiseren. Anderen vermelden dat veel van deze uitzonderingen zo specifiek van aard zijn dat slechts een zeer kleine groep bedrijven ermee te maken krijgt.
Conclusies
Veel van de ondervraagde bedrijven nemen nog steeds geen passende maatregelen met betrekking tot de verplichtingen van de verordening en zijn zich niet volledig bewust van de gevolgen. Ze vinden het moeilijk om de nodige regelingen te treffen. Dit betekent met name dat ze geen duidelijk beeld hebben van de positieve of negatieve gevolgen van de verordening voor hun eigen bedrijf als het gaat om grensoverschrijdend zakendoen.
Deze voorstudie heeft aangegeven dat breder onderzoek naar de eindsituatie van de bedrijven in de hele Euregio nodig is om de stand van voorbereiding rond de deadline te beoordelen. Er zijn aanwijzingen dat dit met name relevant zou kunnen zijn voor bedrijven die zaken doen met Duitse tegenhangers. Als hun Duitse tegenhangers al GDPR-compliant zijn, kunnen ze een vergelijkbare standaard verwachten met betrekking tot GDPR-compliance van potentiële zakenpartners. Als bedrijven in de Provincie Limburg de strenge normen van de GDPR niet naleven, is het mogelijk dat anderen geen zaken met hen willen doen. Het zal interessant zijn om een goede analyse te maken van Nederlandse, Duitse en Belgische bedrijven in de grensregio’s.
De antwoorden van het kleine aantal bedrijven zijn tot op zekere hoogte alarmerend: de meeste bedrijven zullen waarschijnlijk niet op tijd klaar zijn voor de volledige implementatiedatum op 25 mei 2018. Verrassend genoeg lijkt dit tot nu toe geen punt van zorg te zijn voor de respectieve bedrijven.
Of dit is omdat ze niet zo’n grote gevolgen zullen ondervinden van de veranderingen of omdat ze zich de verstrekkende gevolgen pas zullen realiseren als ze met grote problemen te maken krijgen, valt nog te bezien. De voorstudie heeft aangetoond dat verder onderzoek nodig is om ook een scenario te voorkomen waarin te veel bedrijven grensoverschrijdende ondernemingen in gevaar brengen.
_____________________________________________
[1] Verordening (EU) 2016/679
[2] http://europa.eu/rapid/press-release_IP-12-46_en.htm
[3] Bedrijven uit verschillende sectoren: privacy-consultants en -experts, auto-industrie, transportbedrijven, marketingbedrijven, zorgverleners, app-bouwers, verschillende tech-start-ups, aannemers.
