‘GDPR-regelgeving nog ontoereikend voor big tech’

Abonneer je gratis op Techzine!

De Europese privacywetgeving GDPR is nog ontoereikend als het gaat om het handhaven van de privacy van consumenten voor diensten van grote techbedrijven. Bijvoorbeeld de locatietracking-activiteiten van Google. Dit stelt de pan-Europese consumentenbelangenorganisatie BEUC in een recent onderzoek.

Twee jaar gelden introduceerde de Europese Unie (EU) de GDPR wet- en regelgeving voor het handhaven van het gebruik van de privacygegevens van individuele gebruikers en het beschermen daarvan. Met de GDPR introduceerde de EU hiervoor een enkele set van wet- en regelgeving die in alle 27 lidstaten -en vooralsnog ook het Verenigd Koninkrijk- nu wordt gebruikt.

Consumentenorganisaties hadden, zo stelt het rapport van BEUC, hoge verwachtingen van de daadwerkelijke handhaving met deze regelgeving. Zij verwachtten dat hierdoor consumenten makkelijker hun privacy konden houden in een toenemende digitale wereld.

Handhaving ontoereikend

Uit het rapport blijkt nu dat deze handhaving toch nog te wensen overlaat. BEUC ziet dat de handhaving van de GDPR aan effectiviteit ontbreekt, er geen geharmoniseerde procedures bestaan voor grensoverschrijdende klachten en het trage proces van handhaving. Dit heeft volgens de belangenorganisatie een groot negatief effect op consumenten in heel Europa. Speciaal als het gaat om de activiteiten en diensten die grote techbedrijven bieden of uitvoeren.

Google-case ter illustratie

BEUC illustreert deze tekortkomingen met een case rondom de location trackingactiviteiten van Google. De consumentenbelangenorganisiatie heeft hiervoor in 2018 tegen de techgigant bij de EU een klacht ingediend op basis van het schenden van de GDPR-regelgeving voor deze activiteiten. Google heeft zijn Europese hoofdkantoor in Ierland, zodat deze zaak werd opgepakt door de Ierse nationale privacytoezichthouder DPC. Anderhalf jaar nadat deze klachten op basis van de GDPR waren ingediend, is er nog steeds geen antwoord gegeven.

BEUC stelt dat deze case illustreert dat de handhaving van de GDPR -vooral in grensoverschrijdende gevallen- dus te wensen overlaat. De beslissingstermijn duurt volgens BEUC te lang. In de tussentijd kan het bewuste (tech)bedrijf gewoon doorgaan met zijn activiteiten en dus in overtreding zijn van de GDPR-wet- en regelgeving.

Aanbevelingen

BEUC sluit het rapport af met een aantal aanbevelingen die de effectiviteit van de GDPR-regelgeving en vooral de handhaving daarvan moeten verbeteren. Vooral in het geval van grensoverschrijdende zaken.

Onder meer moet de Europese Dataprotectie Board (EDPB), de overkoepelende databeschermingsorganisiatie van de EU een gezamenlijke administratieve procedure opstellen voor het afhandelen van grensoverschrijdende klachten over de GDPR. De handhavingsautoriteiten van de afzonderlijke lidstaten moeten zelf meer op eigen initiaties onderzoek doen. Zij moeten ervoor zorgen dat de rechten van de klachtenindieners niet worden benadeeld en dat de onderzoeken geen vertraging oplopen. De afzonderlijke toezichthouders, maar ook de lidstaten zelf, moeten ook meer helpen bij grensoverschrijdende klachten.

Daarnaast moet duidelijk worden vastgelegd welke datapersonen klachten kunnen indienen en vooral welke belangenorganisatie als vertegenwoordigers van deze datapersonen dit kunnen doen. Dit moeten lidstaten in hun eigen wet- en regelgeving vastleggen. Verder moeten lidstaten ervoor zorgen dat hun toezichthouders voldoende capaciteit hebben en voorbereid zijn om hun toezichthoudende werkzaamheden te kunnen uitvoeren.