We kunnen niet zeggen dat 2021 een rustig jaar was in privacy land. Met 1,1 miljard aan GDPR boetes is het duidelijk dat de privacy regulatoren op dreef zijn.
Alsof dat al niet genoeg stof tot nadenken geeft, is 2022 bovendien ingezet in een hogere versnelling: de nieuwe SCC’s moeten tegen het eind van het jaar in alle contracten de oude vervangen hebben, Google Analytics werd gebannen, en een Europese taskforce zet zijn tanden inzake cloud diensten voor overheden. En als kers op de taart lijkt de GDPR tal van andere landen te inspireren …
Tijd om even stil te staan bij wat op ons afkomt!
PIPL: China’s gloednieuwe privacy wetgeving
China’s wetgeving m.b.t. de bescherming van persoonlijke informatie (PIPL) werd van kracht op 1 november 2021, minder dan drie maanden na de goedkeuring door het Nationale Volkscongres. Net als de GDPR heeft de wet extraterritoriale werking, waardoor multinationale ondernemingen in de technologie-, kleinhandels-, luxegoederen-, automobiel-, financiële en andere sectoren uitgebreide programma’s moeten opzetten om de wet na te leven.
Het is belangrijk om PIPL in de bredere context van de tech-regelgeving in China te zien. De afgelopen twee jaar hebben meerdere regelgevende instanties in China, waaronder de Cyberspace Administration of China (CAC), die nu belast is met de handhaving van PIPL, op het terrein gewogen met nieuwe regels over gegevensbeveiliging, gegevensoverdracht, kunstmatige intelligentie, en meer.
Bovendien lanceerde de overheid reeds heel wat handhavingsacties tegen bedrijven variërend van kleine app-ontwikkelaars tot grote bekende namen in de Chinese tech.
Voor bedrijven die globaal aanwezig zijn, is de naleving van een hele reeks regels over grensoverschrijdende gegevensoverdracht één van de grootste uitdagingen. De Chinese wet stelt eisen aan de lokalisatie van gegevens voor bepaalde sectoren – en categorieën van gegevens, terwijl andere bedrijven dan weer gegevens uit China kunnen uitvoeren, maar alleen onder bepaalde voorwaarden, zoals het uitvoeren van een veiligheidsbeoordeling en het indienen daarvan bij de CAC.
En wat met de privacy wetgeving in de US?
Als Europeanen kijken we misschien te veel naar de US op het federale niveau. En laat daar, ondanks de consensus over de noodzaak van een federale privacywet, net geen doorbraak te verwachten zijn in 2022. Deels komt dit door electorale koorts, maar vooral door een diepe verdeeldheid tussen de belangengroepen. Het bedrijfsleven verzet zich immers sterk tegen verhaalmechanismen die verder gaan dan regelgeving, terwijl anderen hard lobbyen om de reikwijdte van de privacywetgeving uit te breiden om onderwerpen als gelijkheid, vooroordelen en discriminatie aan te pakken.
Maar laat ons daarom zeker niet denken dat alles geblokkeerd zit. Minstens in California, Virginia en Colorado zal in de loop van dit jaar nieuwe privacy wetgeving in werking treden. En in Maryland, Oklahoma, Ohio, New Jersey, Florida en Alaska is men er hard mee bezig.
En dan valt er ook nog wat te zeggen over de strategische plannen van de FTC (Federal Trade Commission) om strenger op te treden tegen surveillance gebaseerde business modellen, lakse information security en business modellen die gebaseerd zijn op AI beslissingen, alsook de toon die gezet werd door het Witte Huis met beleidsinitiatieven rond privacy (al is het nog maar in de consultatieronde).
Het is duidelijk dat ondernemen in de US gepaard gaat met heel wat regelgevende beperkingen rond privacy!
Europa: een baken voor privacy bescherming?
GDPR: van data protection naar data protectionism
De inleiding gaf de teneur reeds weer: na enkele jaren ingetogenheid zagen we in 2021 een duidelijke opleving van de GDPR-handhaving in de hele EU. En wat daarbij opvalt, is dat de toezichthouders hun focus verlegd hebben van het aanpakken van data breaches, naar het onderzoeken van verwerkingsgronden en crossborder data flows.
Voor 2022 wordt alvast nog een versnelling hoger geschakeld: de beslissingen inzake Google Analytics zijn slechts een voorbode van de uitgesproken intenties om de excessen van digital marketing aan te pakken. En wat staat nog op de radar? Alvast de bescherming van data van minderjarigen (hallo TikTok?), en de beperking van het gebruik van gevoelige medische of financiële informatie.
Dat daarbij de big tech geviseerd wordt, is al lang duidelijk. Maar ook gewone technologie ondernemers dreigen meegesleurd te worden in deze strijd. Elke moeilijkheid creëert natuurlijk ook opportuniteiten: Europese initiatieven die van meet af aan GDPR-compliance hoog in het vaandel voeren, zouden wel eens garen kunnen spinnen bij deze harde aanpak. Of was dat van meet af aan de bedoeling?
De European Data Protection Board (EDPB) als super-regulator
Dat de verschillende toezichthouders in grotere mate de neuzen in dezelfde richting plaatsen, is minstens ten dele toe te schrijven aan de rol van de EDPB. Werd de toon vorig jaar gezet met een ontwerp opinie over data transfers, dan verwachten we dit jaar meer inzichten over de belangrijke concepten die te maken hebben met anonimisering. Op de agenda staat verder minstens nog het gebruik van data voor onderzoeksdoeleinden.
Een tsunami aan extra regels
Alsof we al niet genoeg hebben aan de GDPR, zit er bovendien nog een hele rits bijkomende nieuwe regelgeving in de Europese koker. Zo kunnen we dit jaar nog stappen verwachten inzake de Digital Services Act (DSA), de Digital Markets Act (DMA), de Data Governance Act (DGA), de e-Privacy Regulation (ePR), de Network and Information Security Directive (NIS II), maar ook de AI Act en de Data Act.
Conclusie
Ondanks de doemberichten bij de inwerkingtreding van de GDPR, werd ons ondernemingslandschap zeker niet geconfronteerd met privacy compliance vanuit een “big bang” ervaring.
De toenemende intensiteit waarmee de toezichthouders hun rol invullen, daarbij aangespoord door een luid privacy-activisme, maakt echter dat wie vandaag privacy compliance niet ter harte neemt, ziende blind is.
De materie is bovendien complex, en onderworpen aan voortdurend nieuwe, evoluerende inzichten en bijkomende regelgeving. Dit alles maakt dat privacy compliance definitief zijn intrede heeft gedaan in het ondernemerschap, naast andere risicofactoren zoals productaansprakelijkheid.
Vind je ook je weg niet meer tussen GDPR, DSA, DMA, DGA, ePR, NIS II, PIPL, CPRA en zo veel meer regels? Spreek er over met onze experten via hallo@dejuristen.be en krijg een beter zicht op waar je risico’s zich juist manifesteren.
Geschreven door Kris Seyen, Partner deJuristen
