2min

Met nog iets meer dan twee weken te gaan tot de GDPR-deadline (25 mei), stelt een meerderheid van de Europese privacytoezichthouders er niet klaar voor te zijn. Dat concludeert Reuters op basis van een enquête. Van de 24 ondervraagde autoriteiten die toezicht moeten houden op de verordening, kunnen er 17 niet goed hun GDPR-taken uitvoeren.

Bij de aankomende regels is er niet één autoriteit die toezicht houdt, maar liggen de verantwoordelijkheden bij nationale en regionale waakhonden. Maar een meerderheid daarvan blijkt niet klaar te zijn, vanwege te weinig financiële middelen of een gebrek aan bevoegdheden. Dit laatste komt onder meer voort uit het handelen van overheden, waardoor wetten niet zijn aangepast aan GDPR. Dit proces kan meerdere maanden na de deadline nog plaatsvinden.

Bij slechts vijf deelnemers zijn de nationale wetten en de financiering op orde. Van de 17 organisaties waar dat niet voor geldt, denken er elf die in de toekomst het wel op orde te krijgen. Eén van de respondenten die niet klaar is voor GDPR, is de Franse toezichthouder CNIL. Deze partij stelt dat haar middelen ontoereikend zijn. CNIL drong er, net als andere toezichthouders, bij de regering op aan om de middelen en het personeel aanzienlijk te vergroten.

Input

Hoewel de middelen dus voor de meeste ondervraagde instanties ontoereikend zijn, zal een meerderheid toch reageren op klachten en indien nodig onderzoek uitvoeren. Een minderheid gaat echter proactief onderzoeken of er daadwerkelijk aan GDPR voldaan wordt. De meest kwalijke overtredingen zullen zij beboeten. Reuters suggereert op basis van deze antwoorden dat het handhavingsbeleid zwakker zal zijn dan het antitrust-toezicht van de Europese Commissie.

Niet alle toezichthouders wilden meewerken aan het onderzoek, waarbij er verwezen werd naar de complexiteit van verschillende kwesties. Onder hen de DPC van Ierland en de ICO van het Verenigd Koninkrijk. Vooral Ierland was interessante input geweest aangezien bedrijven als Facebook, Google, Apple en Twitter zich daar vestigen. DPC gaf wel aan dat het budget en personeel omhoog ging ter voorbereiding op GDPR. Het is de vraag of dit voldoende is voor de grote bedrijven die zich daar vestigen.