Kritiek op Ierse privacyautoriteit vanwege traag ingrijpen met GDPR

Abonneer je gratis op Techzine!

Sinds het invoeren van de GDPR is de Data Protection Commission van Ierland overspoeld met werk om de regelgeving te handhaven. Door de overvloed aan zaken om te onderzoeken, zouden privacyautoriteiten echter te langzaam ingrijpen bij overtredingen.

Aangezien veel techreuzen vanwege belastingvoordelen besluiten hun Europese hoofdkwartier in Ierland te vestigen, komen de grootste GDPR-gerelateerde onderzoeken op het bordje van de Data Protection Commission in Ierland te liggen. Nu recentelijk ook het omstreden sociale medium TikTok zich in het land heeft gevestigd, komt de privacyautoriteit onder zware druk te staan, vermoedt CNBC.

Privacyactivist NOYB, kort voor ‘none of your business’, vindt dat de DPC te weinig actie onderneemt om de techreuzen te temmen. “De verwachtingen voor de DPC zijn erg teleurstellend”, vertelt NOYB-advocaat Romain Robert tegen CNBC. “We zien niet zo veel beslissingen.”

Slechts één GDPR-boete uitgedeeld

Sinds de invoer van de GDPR in 2018 heeft de organisatie slechts één keer een boete uitgedeeld aan een Amerikaanse techreus, toen Twitter afgelopen december een boete van 450.000 euro aan zijn broek kreeg. Twitter kreeg deze boete omdat het niet binnen 72 uur melding had gemaakt van een mogelijke inbreuk op de privacygegevens van eindgebruikers.

Adjunct-commissaris Graham Doyle van de DPC vertelt dat hij al sinds het begin van de GDPR-regelgeving de verwachtingen probeert te controleren. “Er is deze focus op het tempo waarom onderzoeken gaan en een geloof dat wanneer je meer mensen hebt, dingen sneller gebeuren. Dat is net per se het geval. Het helpt in sommige gevallen, maar in andere gevallen betekent het dat je meer tegelijk kan.”

200 werknemers

De DPC groeit snel. In het afgelopen jaar kreeg het bedrijf 19,1 miljoen euro van de Ierse overheid. Het jaar daarvoor was dat nog 16,9 miljoen. Ook groeit het aantal werknemers snel. Het bedrijf heeft er momenteel bijna 150, maar verwacht dat dit aantal tegen het einde van het jaar tot 200 is gegroeid.

Momenteel is de DPC bezig met een onderzoek naar wat mogelijk zijn grootste GDPR-boete tot nu kan worden. De privacywaakhond onderzoekt of WhatsApp open genoeg is over welke gegevens de chatapp deelt met Facebook. De chatapp hangt een boete van tussen de 30 en 50 miljoen euro boven het hoofd. Verder heeft de Franse CNIL een sanctie van 50 miljoen euro uitgedeeld aan Google.

Privacyautoriteiten handelen te traag

Toch vindt Robert dat Europese autoriteiten te traag handelen. Hij wijst daarbij onder andere naar de privacywaakhond van Luxemburg, die nog geen actie heeft ondernomen tegen het daar gevestigde Amazon. Robert pleit voor een objectieve analyse van alle middelen, budgetten en werklasten van de DPA. Zo kan een volledig beeld gevormd worden van hoe de GDPR presteert.