Van invoering tot impact: een terugblik op 5 jaar AVG

25 mei 2018 stond bij menig jurist in de agenda als een soort D-Day: de dag dat de Algemene verordening gegevensbescherming (‘AVG’) van toepassing werd en dat er boetes van maar liefst €20 miljoen konden (lees: zouden!) worden opgelegd voor overtreding ervan. Dat bleek in de praktijk mee te vallen. Niettemin is er de afgelopen vijf jaar veel gebeurd in Privacyland. Datalekken zijn bijna dagelijks in het nieuws, betrokkenen kennen steeds beter hun rechten en ook het doorgifte probleem houdt organisaties in zijn greep. In deze blog blikken we terug op een bewogen vijf jaar.

De angst voor de grote €20 miljoen: werd de soep de afgelopen vijf jaar zo heet gegeten?

Kort antwoord: neen. Relatief snel updatete de Autoriteit Persoonsgegevens haar boetebeleidsregels waarin de bandbreedtes een stuk lager liggen. Voor de zwaarste overtreding blijft de basisboete onder de miljoen. Ook de boetebesluiten van de afgelopen vijf jaar blijven daar over het algemeen onder. De Belastingdienst spande de kroon met zo’n €3,7 miljoen voor de zwarte lijst fraudesignaleringsvoorziening en €2,75 miljoen voor de toeslagenaffaire. Leuker kunnen ze het inderdaad niet maken. Ook de kleine organisatie bleef niet gespaard: een orthodontiepraktijk kreeg €12.000 boete voor de onbeveiligde patiëntenwebsite en PVV Overijssel €7.500 voor het niet melden van een datalek. Een volledig plaatje hebben we evenwel niet: niet alle boetebesluiten worden gepubliceerd, dus ook niet alle overwegingen en interpretaties van de toezichthouder zijn bekend. Helaas pindakaas.

Wel hebben we geleerd dat boetes aanvechten kan lonen: VoetbalTV kreeg een boete van €575.000 voor het streamen van amateurvoetbalwedstrijden; de AP vond dat dit niet kon op basis van een gerechtvaardigd belang. De rechtbank en later ook de Afdeling bestuursrechtspraak van de Raad van State waren het daar (soort van) niet mee eens en vernietigden de boete. Soort van, want duidelijkheid boden de rechters helaas niet: wanneer een commercieel belang nou precies een gerechtvaardigd belang kan zijn, weten we nog steeds niet.

EU-U.S. Data Privacy Framework?

Eén van de heetste hangijzers de afgelopen jaren is toch wel Schrems II: de uitspraak van het Europese Hof van 16 juli 2020 waarmee het Privacy Shield ongeldig werd verklaard. Waar de Europese Commissie na Schrems I snel in actie kwam en Safe Harbor in zo’n negen maanden wist neer te zetten, gaat e.e.a. nu wat langzamer: een kleine drie jaar later hebben we nog steeds geen geldig mechanisme voor doorgifte naar de Verenigde Staten. Sterker nog: de laatste ontwikkeling wijst op het tegenovergestelde. De leden van het Europees Parlement stemden afgelopen 11 mei tegen het voorgestelde EU-U.S. Data Privacy Framework. Hoewel dit een niet-bindende beslissing is, is dit wel een duidelijk signaal vanuit het parlement. Het Framework haalt de “essentially equivalent”-toets niet omdat Amerikaanse wetgeving nog steeds te veel privacyinbreuk maakt op de rechten van Europese burgers. Ook Max Schrems is de messen aan het slijpen en verwacht niet dat het Europese Hof zich kan vinden in het Framework. Ondertussen heeft Meta een recordboete van €1,2 miljard ontvangen voor doorgifte naar de Verenigde Staten, inclusief een verbod. The saga continues. 

Blik op de toekomst

Vijf jaar zit erop, maar wat voorzien we voor de komende vijf jaar? Dingen als artificial intelligence, large language models en neural networks zijn hot. Google DeepMind’s AlphaGo versloeg in 2015 al professionele spelers, maar OpenAI’s ChatGPT brengt de techniek in een stroomversnelling (nee, deze blog heb ik helemaal zelf geschreven). De Italiaanse privacytoezichthouder voorzag problemen met ChatGPT en legde direct een verbod op. OpenAI heeft een en ander verbeterd door onder andere meer transparantie te bieden, de grondslag aan te passen naar toestemming of gerechtvaardigd belang en door leeftijdsverificatie in te bouwen. Niettemin blijven er vragen onbeantwoord. Mag informatie die is gepubliceerd op het internet voor het ene doel zomaar worden hergebruikt voor een ander doel onder het mom van ‘gerechtvaardigd belang’ (in dit geval het trainen van het large language model)? Hoe waarborg je rechten van betrokkenen als zij niet eens weten dat je hun gegevens hergebruikt? En – niet direct gerelateerd maar wel interessant – hoe kunnen wij als juristen deze technieken gebruiken in onze eigen praktijk? Onze Chief Knowledge Officer Arnoud leert het je graag.

De AVG is overigens niet de enige wet die hier van belang is. Eind van het jaar wordt de definitieve tekst van de AI Act (Wet op de Artificiële Intelligentie) verwacht. Vergeet daarnaast vooral niet de Data Act, Data Governance Act, Digital Services Act en Digital Markets Act, de Cybersecurity Resilience Act, NIS 2 Directive en, last but not least, de ePrivacy Regulation. Het wordt een uitdaging om al deze nieuwe wetgeving met elkaar te rijmen + met nationale wet- en regelgeving. Vanzelfsprekend kun je ook de komende vijf jaar op ons rekenen om jou op de hoogte te houden. 

Terug naar overzicht