Het zal door het volstromen van de inbox met privacystatements weinigen zijn ontgaan: op 25 mei is de nieuwe Europese privacywet, de GDPR, in werking getreden. Nu de kruitdampen langzaam optrekken is het tijd om de eerste balans op te maken.

De invoering ging in Nederland in de pers gepaard met kritiek op de privacytoezichthouder: de Autoriteit Persoonsgegevens (AP). Je struikelde over de hele en halve experts die bereid waren de AP publiekelijk weg te zetten als een incompetente organisatie. Zo zouden de meeste ervaren experts er recentelijk zijn vervangen door jongere, onervaren mensen.

Als gevolg hiervan zou de AP vleugellam zijn – een verklaring waarom de AP de afgelopen twee jaar vrijwel geen boetes heeft uitgedeeld onder de in 2016 ingevoerde Wet Meldplicht Datalekken. Deze wet kende een boeteregime van 800.000 euro.

Het uitblijven van boetes onder deze wet kan moeilijk het gevolg zijn van de genoemde recente personeelswijzigingen. Kennelijk is de AP terughoudend met het uitdelen ervan. Ik ben benieuwd of de AP, na de invoering van de GDPR, met de bijbehorende boeteregimes van tien tot twintig miljoen euro een nieuwe weg zal inslaan.

Tongbreker

Het nieuwe Nederlandstalige jargon van de GDPR zal voor sommigen een tongbreker blijken. Termen als ‘verwerkingsverantwoordelijke’ en ‘bindende bedrijfsvoorschriften’ zullen niet meteen herkend worden. Wordt Nederland hier misschien geconfronteerd met de Vlaamse neiging termen te ‘vernederlandsen’? In de Engelstalige versie van de GDPR blijven termen veelal hetzelfde, bijvoorbeeld ‘controller’ en ‘binding corporate rules’.

Op 19 april 2018 werden we op de valreep verblijd met maar liefst 385 pagina’s officiële wijzigingen in de verschillende taalversies van de GDPR, nog voordat de wet überhaupt gold. Het betrof een aantal inhoudelijke wijzigingen in de wetstekst. Daarnaast ging het om een groot aantal vertaalfouten, waaronder enkele hilarische missers zoals het vertalen van ‘statutory obligations’ (wettelijke verplichtingen) in ‘statutaire verplichtingen’.

Het blijkt niet zonder risico’s om een Europese wet, die vooral in het Engels is uitonderhandeld en opgesteld, naar alle EU-talen te vertalen. Sommige vertalingen in de Nederlandse wetstekst zijn (nog steeds) zo krom, dat men voor een goed begrip beter de Engelse versie erbij pakt. Dit terwijl alle GDPR-taalversies officieel wet zijn!

Opvallend zijn ook de grote juridische verschillen tussen bijvoorbeeld de Engelse en Nederlandse versie. Daar waar in de ene wetstekst een garantie wordt gevraagd, wordt in de andere taal deze verplichting afgedaan als een zorgplicht. Helaas heeft men ondanks 385 pagina’s wijzigingen juist deze belangrijke verschillen niet opgelost.

Zelfkritischer

Positief is dat de introductie van de GDPR er in de praktijk toe leidt dat organisaties kritischer naar binnen kijken. Ze vragen zich bijvoorbeeld af waarom men een datacenter in de Verenigde Staten kiest, met de onzekere status van het Privacy Shield. Deze vraag is actueel nu in de Ierse Facebook-rechtszaak de Ierse High Court in april 2018 vragen heeft gesteld aan het Europese Hof van Justitie, onder meer of het Privacy Shield (de opvolger van Safe Harbor) rechtsgeldig is onder de GDPR.

Ook kijkt men kritischer of het wel nodig is om persoonsgegevens de EU uit te voeren. En misschien wel het belangrijkste: men kijkt kritischer dan voorheen waarom men überhaupt persoonsgegevens verwerkt, in welke mate men deze binnen en buiten de organisatie deelt, aan wie, en hoe lang deze worden bewaard. En is dit niet in de kern het doel van de GDPR? Dat men voorzichtiger met persoonsgegevens omgaat? Een boete is een laatste remedie, de zelfreinigende werking van de GDPR is al in volle gang.

ANJA DEKHUIJZEN is partner bij Whitebridge Advocatuur en gespecialiseerd in IT, Privacy en Outsourcing. Whitebridge is uitgeroepen tot Privacy Law Firm of the Year 2018.

1 REACTIE

  1. Kunnen we niet beter stellen dat, nu de kruitdampen zijn opgetrokken en het GDPR/AVG ballonnetje fladderend en leeg vanaf het plafond is neer gecrasht, de AVG al mislukt is voordat hij op 25/5 officieel werd ?
    Nihil belangstelling voor deze Verordening, 67% niet gereed, goede voorbeeld van onze Belastingdienst etc. etc. En last but not least: is de Privacy-verbetering geest niet uit de fles ? De ePrivacy wet is niet tegelijk ingegaan op 25/5, zodat handhaving nog lastiger wordt en de ‘grote jongens’ (Google, Facebook etc.) die ePrivacywet helemaal niet willen…